post的 csrf 跨栈请求伪造的解决办法

最新推荐文章于 2025-06-05 08:51:55 发布
原创 最新推荐文章于 2025-06-05 08:51:55 发布 · 995 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Post跨站请求伪造(CSRF),它是一种挟制用户在已登录Web应用执行非本意操作的攻击方法,与XSS利用用户对网站的信任不同,CSRF利用网站对用户浏览器的信任。还给出例子说明其危害,并提供三种解决办法,如在HTML表单增加内容等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

post的跨栈请求伪造

跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
例子
假如一家银行用以运行转账操作的URL地址如下:http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName
那么,一个恶意攻击者可以在另一个网站上放置如下代码:
如果有账户名为Alice的用户访问了恶意站点,而她之前刚访问过银行不久,登录信息尚未过期,那么她就会损失1000资金。
这种恶意的网址可以有很多种形式,藏身于网页中的许多地方。此外,攻击者也不需要控制放置恶意网址的网站。例如他可以将这种地址藏在论坛,博客等任何用户生成内容的网站中。这意味着如果服务端没有合适的防御措施的话,用户即使访问熟悉的可信网站也有受攻击的危险。
透过例子能够看出,攻击者并不能通过CSRF攻击来直接获取用户的账户控制权,也不能直接窃取用户的任何信息。他们能做到的,是欺骗用户浏览器,让其以用户的名义运行操作。

post的跨栈请求伪造的解决办法

方法一:HTML的form表单中增加

{% csrf_token %}

在这里插入图片描述

第二种:在项目的setting.py文件中注释中间键

在这里插入图片描述

第三种:增加一个装饰器在view的代码中

步骤:
1.导包
2.写入
在这里插入图片描述

闲鱼!!!
关注
Spring Security权限框架
荒的博客
04-15 431
Spring Security的身份验证支持多种模型 一、Basic认证 Basic 验证是在HTTP1.0提出的认证方法,它是一种基于challenge/response的认证模式,针对特定的资源需要提供用户名和密码认证后才可访问,其中密码使用明文传输。 Basic 认证是HTTP 中非常简单的认证方式,因为简单,所以不是很安全,不过仍然非常常用。 Basic模式认证过程如下: ①浏览器发送http报文请求一个受保护的资源。 ②服务端的web容器将http响应报文的响应码设为401,响应头部加
【项目实战】Web端常见的高风险漏洞与解决方法(CSRF请求伪造 攻击)
本本本添哥
11-25 1331
CSRF(Cross-site request forgery 请求伪造
数据表设计
weixin_47885311的博客
09-04 327
一、系统配置表 创建MySQL数据表 二、创建代码自动生成 第一步.在项目pom.xml文件中添加相关依赖 <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <version>1.18.12</version> </dependency> <dependency>
CSRF请求伪造
zep
04-22 326
一、CSRF请求伪造 CSRF全拼为Cross Site Request Forgery,译为请求伪造CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账… 造成的问题:个人隐私泄露以及财产安全。 CSRF请求伪造的示意图: 二、CSRF防护 防护思路: 1、请求转账页面的时候,服务器响应转账页面,在cookie中设置一个csrf_token值(随机48位字符串)。 2、客户端在进行post请求的时候,在请求头中带
pikachu靶场通关笔记16 CSRF关卡02-CSRF(POST)
最新发布
mooyuan的网络安全博客
06-05 1103
本系列为通过《pikachu靶场通关笔记》的CSRF关卡(共3关)渗透集合,通过对CSRF关卡源码的代码审计找到安全风险的真实原因,讲解CSRF原理并进行渗透实践,本文为CSRF02关卡XSS之POST关卡的渗透部分。
权限框架Spring Security
淮南亦生橘的博客
09-04 290
权限框架Spring Security 第一步:在pom.xml文件中添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 第二步:简单模式测试,直接访问http://localhost:8080/: ...
spring security(权限框架)
02-26
通过spring 来管理系统权限,能让你的权限做的更好更完美
csrf请求伪造详解
m0_69962105的博客
11-24 1328
钓鱼网站搭建一个类似正规网站的页面用户点击网站链接,给某个用户打钱打钱的操作确确实实提交给了中国银行的系统,用户的钱也确实减少但是唯一不同的是,账户打钱的账户不是用户想要打钱的目标账户,变成了其他用户内部本质在钓鱼网站的页面针对对方账户,只给用户提供一个没有name属性的普通input框然后在内部隐藏一个已经写好带有name属性的input框如何避免上面的问题csrf请求伪造校验网站在给用户返回一个具有提交数据功能的页面的时候会给这个页面加一个唯一标识。
CSRF 请求伪造
m0_69043895的博客
04-19 1331
CSRF(Cross-site request forgery)请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像站脚本(),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比更具危险性。
Django中如何防范CSRF站点请求伪造攻击的实现
09-19
### Django中如何防范CSRF站点请求伪造攻击的实现 #### CSRF概念 CSRF(Cross-Site Request Forgery,请求伪造),是一种常见的安全攻击手段。在这种攻击中,攻击者利用受害者的身份(通常是通过受害者已...
权限框架Spring-Security
z7kirictol的博客
03-12 286
Spering-Security 概念 概述 1、spring中提供安全认证服务的框架 认证:验证用户密码是否正确的过程 授权:对用户的访问资源进行控制 简单使用 配置pom.xml 在web.xml中配置Security的过滤器 配置Spring-Security.xml 1、使用maven,在pom.xml中配置依赖jar包 <!--spring-security--&g...
权限框架SpringSecurity介绍
llg3189609554的博客
04-01 1355
目前市面上比较流行的权限框架主要实Shiro和Spring Security,这两个框架各自侧重点不同,各有各的优劣。Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别处理身份证验证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入和面向切面的技术。web请求级别:使用Servlet规范中的过滤器(Filter)保护Web请求并限制URL级别的访问。方法调用级别。
ajax 伪造请求,如何通过Ajax post防止站点请求伪造
weixin_35934037的博客
08-06 449
我在Mvc项目中有一个带有AntiforgeryToken()值的窗体。当提交表格时,它将与MvC项目中的相应控制器进行验证后行动ValidateAntiforgeryToken。如何通过Ajax post防止站点请求伪造?到确认页面。在具有隐藏表单的两个按钮的确认中,这将会与前面的上述相同的Post操作进行。我在这两个隐藏表单中添加了Html.Antiforgerytoken()。点击按钮时,...
权限框架 | Spring Security入门教程
一个假的程序员
07-12 387
文章目录: ▶ 简介 ▶ 框架搭建 ▶ 环境要求 ▶ 工程搭建 ▶ 框架分析 ▶ 跳转登录页面 ▶ 用户名和密码 ▶ 框架核心过滤器 ▶ 框架核心组件 ▶ Authentication ▶ SecurityContextHolder ▶ AuthenticationManager ▶ Authenticati...
Spring Security权限框架简介
weixin_48016395的博客
04-27 2334
一、框架介绍 Spring是一个非常流行和成功的Java应用开发框架。Spring Security 是基于Spring框架,提供了一套Web应用安全性的完整解决方案。一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。
Spring Security学习笔记
Shawn的个人博客
05-09 3244
文章目录一、Security简介1、简介2、security框架快速搭建二、Spring Security认证1、登录校验流程2、SpringSecurity原理初探2.1 过滤器介绍2.2 认证流程详解3、SpringBoot整合前期准备3.1 思路分析3.2 数据库与框架搭建3.3 相应工具类创建4、自定义UserDetailsService5、自定义登录接口6、认证过滤器7、退出登录8、自定义认证(可选)三、Spring Security授权1、 权限系统初步介绍1.1 介绍1.2 授权基本流程1.3
SpringSecurity安全权限框架及其原理
想看什么文章都可以私信给我,综合性博客。
05-12 1246
首先创建最基本的SpringBoot项目,默认都会。主要是引入依赖和创建Controller进行测试。上述代码为依赖的引入。然后随便写一个controller,写上一个对应的接口,然后直接去浏览器访问。就会发现跳转到了这个登录页面,这个页面也就是Spring Security的默认登陆页面。如果访问很慢,就bootstrap.min.css这个静态资源加载不出来,换个网络即可。
CSRF请求伪造教程:OWASP CSRFTester工具使用与安全测试
### CSRF请求伪造知识点详述 #### CSRF请求伪造定义 CSRF,即请求伪造(Cross-Site Request Forgery),是一种安全漏洞,攻击者利用用户对网站的信任,诱使用户在已经认证的会话中执行非预期的操作。当...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值