【网络安全】一文带你了解什么是【CSRF攻击】

已于 2024-07-03 10:37:52 修改
阅读量1.6k 收藏 32
点赞数 53
分类专栏: WEB前端最新面试题 - 又全又卷 文章标签: web安全 csrf 安全
于 2024-07-01 14:35:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xingyu_qie/article/details/140100418
版权

CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,它利用已认证用户在受信任网站上的身份,诱使用户在不知情的情况下执行恶意操作。具体来说,攻击者通过各种方式(如发送恶意链接、在第三方网站上嵌入恶意代码等)诱导用户的浏览器发送未经授权的请求到受信任的网站。这些请求会携带用户的认证信息(如Cookie、Session),从而让受信任的网站误以为是用户本人发起的合法请求。

目录

1 CSRF攻击的基本原理

2 预防CSRF攻击的方法 

3 使用CSRF令牌(Token)的具体实现

3.1 在服务器端生成CSRF令牌

3.2 在HTML表单中包含CSRF令牌

3.3 在服务器端验证CSRF令牌

3.4 解析请求体(中间件)

3.5 完整的示例代码

3.7 注意事项

1 CSRF攻击的基本原理

  • 用户登录受信任的网站:用户在受信任的网站上登录,浏览器保存了该网站的会话Cookie。
  • 用户访问恶意网站:攻击者诱导用户访问恶意网站或点击恶意链接。
  • 恶意网站发送请求:恶意网站构造一个请求,利用用户的浏览器发送到受信任的网站。由于用户已经登录,浏览器会自动附带用户的会话Cookie。
  • 受信任的网站处理请求:受信任的网站接收到请求后,看到附带的合法会话Cookie,以为这是用户发起的合法请求,从而执行相应的操作。

2 预防CSRF攻击的方法 

  • 使用CSRF令牌(Token):在每次提交表单时,服务器生成一个唯一的CSRF令牌,并将其包含在表单中。服务器在处理请求时验证令牌的有效性,确保请求来自合法的来源。
  • 验证HTTP头部:检查请求的来源(Referer或Origin头部),确保请求是从受信任的域名发出的。
  • 使用双重提交Cookie:在请求中同时包含会话Cookie和一个自定义的CSRF令牌,服务器验证这两个值是否一致。
  • 使用SameSite Cookie属性:设置Cookie的SameSite属性为Strict或Lax,限制Cookie的跨站使用,从而减少CSRF攻击的风险。

CSRF攻击的目标通常是执行用户不希望的操作,例如更改账户设置、进行交易或发送敏感数据等。因此,理解和防范CSRF攻击对于保护用户的安全至关重要。

3 使用CSRF令牌(Token)的具体实现

使用CSRF令牌(Token)是防范CSRF攻击的一种有效方法。下面是一个具体的实现步骤,假设你使用的是Node.js和Express框架,前端使用HTML和JavaScript。

3.1 在服务器端生成CSRF令牌

首先,需要在服务器端生成一个唯一的CSRF令牌,并将其存储在用户的会话中。

const express = require('express');
const session = require('express-session');
const crypto = require('crypto');

const app = express();

app.use(session({
  secret: 'your_secret_key',
  resave: false,
  saveUninitialized: true
}));

// 中间件:生成CSRF令牌并存储在会话中
app.use((req, res, next) => {
  if (!req.session.csrfToken) {
    req.session.csrfToken = crypto.randomBytes(32).toString('hex');
  }
  next();
});

3.2 在HTML表单中包含CSRF令牌

在服务器端的响应中,需要将CSRF令牌包含在HTML表单中,通常以隐藏字段的形式。

app.get('/form', (req, res) => {
  res.send(`
    <form action="/submit" method="POST">
      <input type="hidden" name="csrfToken" value="${req.session.csrfToken}">
      <!-- 其他表单字段 -->
      <button type="submit">Submit</button>
    </form>
  `);
});

3.3 在服务器端验证CSRF令牌

在处理表单提交请求时,服务器需要验证提交的CSRF令牌是否有效。

app.post('/submit', (req, res) => {
  const { csrfToken } = req.body;
  if (csrfToken !== req.session.csrfToken) {
    return res.status(403).send('CSRF token mismatch');
  }
  // 处理表单提交
  res.send('Form submission successful');
});

3.4 解析请求体(中间件)

为了从POST请求中解析CSRF令牌,需要使用body-parser中间件。

const bodyParser = require('body-parser');

app.use(bodyParser.urlencoded({ extended: true }));
app.use(bodyParser.json());

3.5 完整的示例代码

下面是完整的示例代码,将上述步骤结合起来:

const express = require('express');
const session = require('express-session');
const crypto = require('crypto');
const bodyParser = require('body-parser');

const app = express();

app.use(session({
  secret: 'your_secret_key',
  resave: false,
  saveUninitialized: true
}));

app.use(bodyParser.urlencoded({ extended: true }));
app.use(bodyParser.json());

app.use((req, res, next) => {
  if (!req.session.csrfToken) {
    req.session.csrfToken = crypto.randomBytes(32).toString('hex');
  }
  next();
});

app.get('/form', (req, res) => {
  res.send(`
    <form action="/submit" method="POST">
      <input type="hidden" name="csrfToken" value="${req.session.csrfToken}">
      <!-- 其他表单字段 -->
      <button type="submit">Submit</button>
    </form>
  `);
});

app.post('/submit', (req, res) => {
  const { csrfToken } = req.body;
  if (csrfToken !== req.session.csrfToken) {
    return res.status(403).send('CSRF token mismatch');
  }
  // 处理表单提交
  res.send('Form submission successful');
});

app.listen(3000, () => {
  console.log('Server is running on http://localhost:3000');
});

3.7 注意事项

  • CSRF令牌的生成和验证应尽量使用加密安全的随机数生成方法
  • 确保CSRF令牌的存储和传输安全,避免令牌被第三方窃取。
  • 每次会话开始时生成新的CSRF令牌,确保令牌的唯一性和不可预测性。

什么是CSRF攻击,如何防范CSRF攻击
weixin_47450807的博客
03-02 7153
什么是CSRF攻击,如何防范CSRF攻击
一文了解浏览器安全(XSS与CSRF)
小庄zzz的博客
08-31 1073
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。攻击者可以通过这种攻击方式可以进行以下操作:获取页面的数据,如DOM、cookie、localStorage;DOS攻击,发送合理请求,占用服务器资源,从而使用户无法访问服务器;破坏页面结构;
什么是 CSRF 攻击
热门推荐
点滴
03-28 3万+
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事 通常当用户打开了黑客的页面后,黑客有三种方式去实施 CSRF 攻击。 下面我们以极客时间官网为例子,来分析这三种攻击方式都是怎么实施的。这里假设极客时间具有转账功能,可以通过 POST 或 Get 来实现转账,转账接口如下所示: 有了上面的
CSRF攻击原理与解决方法
最新发布
a_beiyo的博客
04-23 1180
跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是一种常见的网络攻击方式,攻击者通过诱导用户在已认证的网站上执行非预期的操作,从而实现恶意目的。CSRF攻击利用了用户在目标网站上的有效会话,通常无需用户直接参与即可完成攻击。例如,用户登录了银行网站并保持会话有效,攻击者通过诱导用户点击恶意链接或访问伪造页面,触发对银行网站的请求(如转账操作),而浏览器会自动附用户的有效Cookie,导致请求被网站误认为是合法操作。
什么是 CSRF 攻击
lio-zero 的博客
05-23 2824
CSRF(Cross-site request forgery):跨站请求伪造。 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。与 XXS 相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 CSRF攻击原理 用户登录了受信任的网站,并在本地生成了 cookie。 在不退出登录的情况下,访问了危险网站。 危险网站会发出......
CSRF攻击
08-31 9870
CSRF攻击(Cross Site Request forgery) 全称跨站请求伪造 攻击者盗用你在某网站的身份如cookie,以你的名义向该网站发送恶意请求。这个就比较可怕了,能够利用你的身份发邮件,发短信,甚至转账,盗取账号等。 首先用户C访问站点A,然后通过信息验证完成登陆,此时产生cookie值保存在浏览器中,然后用户C在没有退出该网站的情况下,无意中访问了恶意的站点B,此时站点B的某个页面着站点A的cookie 向站点A 发恶意请求,站点A根据请求所的cookie,判断此请求为用户发送.
一文了解CSRF与SameSite
josiah_zhao的博客
03-12 900
什么是Cookie 为了解CSRF与SameSite的成因、关系与历史,我们首先需要对Cookie有一个基础的了解。 我们知道,HTTP请求本身是无状态的,正常来说,服务端收到请求后并不知道请求者是谁; 所以为了记录用户的标识信息,来提供更好更便捷的网络服务,Cookie应运而生。 就好像我们使用ATM服务(HTTP服务)一样,没有插入银行卡(Cookie)之前,机器并不知道面前的人是谁,有多少余额,甚至不让你使用大部分的功能;但是当你插入之前银行发售(SetCookie)给你的银行卡(Cookie)之后
CSRF漏洞详解 一文了解CSRF漏洞
闵行小鱼塘
11-11 2680
本篇总结归纳CSRF漏洞
网络安全:(二十五)前端跨站请求伪造(CSRF)和跨域访问安全策略
一名热衷于技术的全栈开发者,专注于前端与后端的全面技术探索。在这里,我将分享我在技术领域的学习与成长,助力更多开发者的进步。
11-09 1128
跨站请求伪造(Cross-Site Request Forgery,简称 CSRF)是一种攻击方式,攻击者诱导已登录的用户在不知情的情况下向受信任的 Web 应用发送恶意请求。由于用户的身份认证信息(如 Cookie)会自动随请求发送,因此恶意请求会被认为是用户发起的,攻击者借此可以执行未经授权的操作,如转账、修改账户信息等。
一文掌握异步web框架FastAPI(七)-- 安全(XSS 和 CSRF 防护、安全的数据存储、环境变量管理、权限和角色控制、审计日志、使用安全的随机数生成、API 文档保护、会话管理)
qq_38120851的博客
10-24 1614
FastAPI安全,XSS 和 CSRF 防护、安全的数据存储、环境变量管理、权限和角色控制、审计日志、使用安全的随机数生成、API 文档保护、会话管理。
CSRF是什么?
文摘资讯
09-27 8829
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 攻击
什么是CSRF攻击,以及如何防御
weixin_41359273的博客
04-14 8908
什么是CSRF攻击,以及如何防御1.CSRF攻击的概念2.CSRF攻击简单案例2.1 银行网站项目2.2 危险网站的项目2.3 测试3.默认的CSRF防御策略4前后端分离的CSRF防御策略 1.CSRF攻击的概念 1.CSRF全称为Cross Site Request Forgery,跨域请求伪造。这是一种很常见的Web攻击方式,如下为一个简单的攻击流程。 1)假设用户打开了一个银行网站,并且登录了 2)登录成功后,会返回一个cookie给前端,浏览器将cookie保存下来 3)用户在没有登出银行网站的情况
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1853
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件...
CSRF 攻击详解
只为成功找方法 不为失败找借口
05-22 4411
禁用 CSRF 保护有其合理的应用场景,特别是在开发 RESTful API、使用其他防护措施、内部应用和非浏览器客户端时。然而,需要谨慎对待这个决定,并确保在适当的场景中启用 CSRF 保护,以防范潜在的安全风险。
什么是CSRF攻击
深入浅出讲透复杂深奥的问题
06-03 259
CSRF(Cross-site request forgery),跨站请求伪造。 要完成一次CSRF攻击,受害者必须一次完成两个步骤: 登陆受信任网站A,并在本地生成cookie; 在不登出A的情况下,访问危险网站B。 这时候,B要求访问A,发出一个request,受害者在不知情的情况下着本地的cookie访问A. ...
CSRF攻击
m_ing
06-20 297
前言:前几天我们一起学习了XSS攻击,今天学习的CSRF与XSS有点相似,但事实上完全不是一回事到后期可能有一些结合的点。希望大家认证学习, 加以区分 CSRF 中文是跨站点请求伪造,CSRF攻击者在用户已经登录目标网站之后,诱导用户访问一个攻击页面利用目标网站对用户的信任。以你的身份在攻击页面对目标网站发起伪造用户操作的请求,比如以你的名义发送邮件、发消息、盗取你的账号等等 CSRF与XSS最大的区别就在于,CSRF并没有盗取你的cookie而是直接利用 攻击场景: web a 为存在漏洞的网站,we
wsl2 编译卡死
03-13
### WSL2 编译过程卡死的原因分析与解决方案 WSL2(Windows Subsystem for Linux 2)作为 Windows 上运行 Linux 的一种高效方式,其性能和兼容性得到了显著提升。然而,在某些情况下,编译过程可能会出现卡死现象。以下是可能原因及其对应的解决方法: #### 可能原因一:网络连接不稳定 如果编译过程中涉及下载依赖项或更新包列表,则网络问题可能导致进程挂起。 - **解决方法** 确保网络稳定并尝试重新执行命令。可以临时切换到更稳定的网络环境来验证是否为网络引起的问题[^3]。 #### 可能原因二:磁盘 I/O 性能瓶颈 WSL2 使用虚拟化技术模拟硬件设备,当大量读写操作发生时,尤其是访问位于 NTFS 文件系统的目录时,可能出现性能下降甚至卡顿的情况。 - **优化措施** - 将源码及相关工作文件存储于 `/mnt/wslg` 或者其他专门分配给 WSL 的 ext4 格式的分区中而非直接映射至 C:\ 驱动器路径下。 - 调整 `wsl.conf` 设置减少不必要的同步开销: ```bash [automount] enabled = true options = "metadata" [mount] c:/ = none bind-cwd rw,noatime,nofollow,uid=1000,gid=1000,umask=22,fmask=117 ``` #### 可能原因三:资源不足 类似于 VMware 中遇到的操作系统卡死情况,内存过载也可能影响 WSL2 正常运作。 - **缓解策略** 通过修改 `.wslconfig` 来增加分配给 WSL 实例的 RAM 和 CPU 数量: ```ini [wsl2] memory=8GB # 设定最大可用内存大小,默认单位 GB processors=4 # 分配核心数 swap=2GB # 启用交换空间以应对突发需求 localhostForwarding=true # 开启本地端口转发功能以便调试服务程序 ``` 重启 WSL (`wsl --shutdown`) 让更改生效后再试一次构建流程[^4]。 #### 可能原因四:特定工具链版本冲突 不同软件组件间可能存在版本不匹配的现象,比如 GCC 版本较旧无法满足现代库的要求或者 Python 环境变量污染等问题都会引发异常行为。 - **排查手段** 确认所使用的开发套件均为最新稳定版;对于像 ORB-SLAM 这样的复杂工程尤其要注意第三方依赖关系表单里指定的确切标签号克隆仓库分支而不是 master/main 头部提交记录[^1]。 --- ### 示例代码片段展示如何调整 wsl.conf 参数改善性能表现 编辑 ~/.profile 添加如下内容启用高性能模式: ```bash export MAKEFLAGS="-j$(nproc)" alias ls='ls --color=auto' alias ll='ls -lhF' ``` 同时创建全局范围内的配置文件 /etc/wsl.conf 如果尚未存在的话: ```bash sudo nano /etc/wsl.conf ``` 填入上述提到过的 automount 和 mount 配置节段保存退出即可应用新设定。 ---
评论 46
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

经海路大白狗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值