【强制】表单、 AJAX 提交必须执行 CSRF 安全过滤。

最新推荐文章于 2025-04-22 11:31:54 发布
原创 最新推荐文章于 2025-04-22 11:31:54 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍CSRF(Cross-site request forgery)跨站请求伪造漏洞及其防御策略。通过生成随机token并进行验证,确保用户参数安全,防止攻击者利用恶意链接进行数据库修改。

 

CSRF(Cross - site request forgery) 跨站请求伪造是一类常见编程漏洞。对于存在
CSRF 漏洞的应用/网站,攻击者可以事先构造好 URL ,只要受害者用户一访问,后台便在用户

 

不知情情况下对数据库中用户参数进行相应修改。

 

具体思路:

1、跳转页面前生成随机token,并存放在session中

2、form中将token放在隐藏域中,保存时将token放头部一起提交

3、获取头部token,与session中的token比较,一致则通过,否则不予提交

4、生成新的token,并传给前端

参考:http://blog.youkuaiyun.com/jrn1012/article/details/52750883

安全规约、脱敏规范、敏感逻辑的保护方案、防止 SQL 注入
专注于计算机研发知识和资讯分享
01-13 1735
按照字符 数长度计算,字符数长度/3,字符数长度1/3位数正常显示,字符数长度(3/1+1)位数部分隐藏以星号替代。剩余部分字符数正常显示;正例:中国大陆个人手机号码显示:139****1219,隐藏中间 4 位,防止隐私泄露。说明:防止没有做水平权限校验就可随意访问、修改、删除别人的数据,比如查看他人的私信内容。用户敏感数据禁止直接展示,必须对展示数据进行脱敏。隶属于用户个人的页面或者功能必须进行权限控制校验。
【第八篇】SpringSecurity的核心过滤器-CsrfFilter
yqqの博客
03-18 881
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
阿里巴巴 JAVA开发手册之表单AJAX 提交必须执行 CSRF 安全验证 思路流程及代码示例
weixin_42589778的博客
08-29 676
介绍:CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,C...
基于form表单ajax提交数据,csrftoken验证
m0_73399600的博客
11-13 962
pass。
ajax使用js动态生成form表单,post方式提交添加crsf验证内容(不用jquery,只用原生js语句)
xiaotuwai8的博客
03-22 647
在项目的setting中 ‘django.contrib.auth.middleware.AuthenticationMiddleware’, 取消这一句的注释后,所有post提交的form都需要进行crsf验证,否则报403错误(CSRF验证失败. 请求被中断.)。对于直接渲染的页面,可以在body里加上{% csrf_token %},即可自动渲染。 但是对于使用javascrip动态创建表单...
AJAX以及跨域情况下POST请求出现CSRF问题的解决方案
Blossom
03-07 5866
CSRF是什么? AJAX中处理CSRF的解决方案 系统和环境描述: JSP页面 AJAX POST请求 Spring Boot开启Security(会自动开启CSRF机制) 请求出现403问题 简单的禁用CSRF 在继承了WebSecurityConfigurerAdapter的Spring管理类的configure方法中加入http.csrf().disable()代码即可...
网络安全 kali Web安全CSRF攻击
xueshenlaila的博客
03-16 1026
CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。
同源政策/跨域与跨域解决策略/web安全攻击CSRF以及XSS
darabiuz的博客
02-11 3409
1.同源策略 1. 什么是同源 同源策略是浏览器安全的基石,当前网页的url和ajax请求地址的url必须同源,它要求协议、域名、端口号三者必须相同,只要有一处不同就属于跨域 2. 为什么要有同源策略 想象这样一个场景,你登录并信任了一个购物网站A,然后在没有退出的情况下登陆了恶意网站B,由于浏览器携带了cookie信息,那么B就可以冒充用户向A网站发送请求,比如购买物品之类的违背用户预期的恶意行为,带来严重影响,这其实也就是平时所说的CSRF攻击(具体见下文对于CSRF的介绍),由来同源策略以后,主要限制
CSRF与SSRF
qq_73792226的博客
07-22 1482
CSRF定义:CSRF是一种由攻击者构造形成,利用用户在已登录的网站中提交非法请求的行为。攻击者通过伪造用户提交的请求,将恶意请求发送至受信任的网站,导致用户在不知情的情况下执行恶意操作。原理:CSRF攻击利用了网站对用户网页浏览器的信任。攻击者通过诱使用户访问一个恶意网页(通常是通过邮件、消息或恶意网站链接),该网页中包含了一个指向受信任网站的恶意请求。由于用户的浏览器在访问该网站时已经处于登录状态,因此这个恶意请求会携带用户的认证信息(如Cookie),从而被受信任的网站信任并执行。SSRF。
CSRF详解
最新发布
weixin_46013320的博客
04-22 1974
CSRF(跨站请求伪造)是一种恶意的利用,攻击者通过伪装成为用户发送请求,执行非用户意愿的操作。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会觉得这是真正的用户操作而去运行。
Spring Security CsrfFilter过滤器用法实例
08-25
主要介绍了Spring Security CsrfFilter过滤器用法实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
CSRF
jpygx123的博客
10-10 435
同源策略: A网页设置的Cookie,B网页不能打开,除非这个两个网页同源。 三个相同:协议相同、域名相同、端口相同。 三个一块相同才是同源的。 目的:为了保证用户信息的安全,防止恶意的网站窃取数据。 限制范围: 1.cookie、localstorage和indexDB无法读取。 2.Dom无法获得。 3.AJAX请求不能发送。 虽然限制很必要但是有些合理的用途也会受到影响,比如同站点下的不同域...
全局过滤器/局部过滤
YPX_YGWW的博客
07-19 549
vue事件对象
Web安全:XSS、CSRF以及如何防范
KaiSarH
05-26 2438
Web安全:XSS、CSRF以及如何防范
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
VN520的博客
12-28 1236
面试的时候的著名问题:“谈一谈你对 CSRF 与 SSRF 区别的看法”这个问题,如果我们用非常通俗的语言讲的话,CSRF 更像是钓鱼的举动,是用户攻击用户的;而对于 SSRF 来说,是由服务器发出请求,用户。
后端编码规范
jie774856782的博客
11-08 530
java编码规范需要注意的内容
常见的前端安全CSRF/XSS以及常规安全策略
小草莓的博客
07-14 2218
5、前端的常规安全策略 ① 定期请第三方机构做安全性测试和漏洞扫描 ② code review 保证代码质量 ③ 默认项目中设置对应的 Header 请求头,如 X-XSS-Protection、 X-Content-Type-Options 、X-Frame-Options Header、Content-Security-Policy 等等 ④ 尽量不用v-html、在有输入框的地方要对输入做拦截和校验等
通过ajax提交form表单数据的几种方式
热门推荐
前端开发-陈善强
01-11 2万+
一、FormData方法 作用: 模拟HTML表单,相当于将HTML表单映射成表单对象,自动将表单对象中的数据拼接成请求参数的格式。 异步上传二进制文件 使用 在原生ajax中的使用 <form id="form"> <input type="text" name="username" /> <input type="password" ...
ASP.NET高级安全编程技术详解
针对CSRF攻击,本书详细说明了如何启用和配置AntiForgeryToken机制,确保每个表单提交都携带一次性令牌,并在服务器端进行校验。在ASP.NET Core中,这一过程更加自动化,可以通过添加[ValidateAntiForgeryToken]特性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值