首页 > 其他分享 >什么是 CSRF 攻击?如何避免?

什么是 CSRF 攻击?如何避免?

时间:2023-11-03 18:35:05浏览次数:35  
标签:请求 攻击 避免 用户 token CSRF 校验

什么是 CSRF 攻击?

CSRF,跨站请求伪造(英文全称是 Cross-site request forgery),是一种挟持用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。

CSRF 是如何攻击的?

什么是 CSRF 攻击?如何避免?_字段

1. 用户登陆银行,没有退出,浏览器包含了 用户 在银行的身份认证信息。

2. 攻击者将伪造的转账请求,包含在在帖子

3. 用户在银行网站保持登陆的情况下,浏览帖子

4. 将伪造的转账请求连同身份认证信息,发送到银行网站

5. 银行网站看到身份认证信息,以为就是 用户的合法操作,最后造成用户资金损失。

怎么应对 CSRF 攻击

检查 Referer 字段

HTTP头中的Referer字段记录了该 HTTP 请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,而如果黑客要对其实施 CSRF攻击,他一般只能在他自己的网站构造请求。因此,可以通过验证Referer值来防御CSRF 攻击。

添加校验 token

以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有token或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。

敏感操作多重校验

对一些敏感的操作,除了需要校验用户的认证信息,还可以通过邮箱确认、验证码确认这样的方式多重校验。

标签:请求,攻击,避免,用户,token,CSRF,校验
From: https://blog.51cto.com/u_11344924/8173416

相关文章

  • XSS攻击
    XSS:跨站脚本工具  1.可以获取用户的cookion信息等  2.盗取用户信息防御方式: 1.服务器对用户提交的内容进行过滤或编码  2.编码:对危险的标签进行HTML实体编码,(js脚本) ......
  • 使用Spring Data JPA,您可以通过定义接口,面来避免Object[]以更优雅的格式返回数据,sql
    使用SpringDataJPA,您可以通过定义接口,面来避免Object[]以更优雅的格式返回数据,sql的返回值和接口的属性名一致。jap会根据sql返回值映射到接口对应属性。cas*_*lin6根据定义,JPA将返回Object[]查询返回带有投影的列表的列表,即来自实体(或多个实体)的一组字段.使用......
  • 服务器被攻击怎么办
    大家好,我是咕噜-凯撒,在现在这个网络时代,服务器攻击已成为互联网世界中的一种不可忽视的威胁。不管你是大型企业、小型创业公司还是个人网站,都可能成为他的目标。一旦服务器遭受攻击,可能会导致数据泄露、服务中断以及声誉损失等严重后果,即使你没有遇到过这种情况也可以看看我的这篇......
  • 有哪些安全攻击?
    有哪些安全攻击?网络安全攻击主要分为两种类型,被动攻击和主动攻击被动攻击被动攻击是指攻击者从网络上窃听他人的通信内容,通常把这类攻击称为截获,被动攻击主要有两种形式:消息内容泄露攻击和流量分析攻击。由于攻击者没有修改数据,使得这种攻击很难被检测到。主动攻击直接对现有的数据......
  • Windows系统上禁用Jenkins跨站请求伪造(CSRF)保护功能
    禁用CSRF保护为了在Jenkins中禁用CSRF保护,请按照以下步骤操作:定位Jenkins服务在Windows搜索栏中输入services.msc,然后按Enter键打开服务。在服务列表中找到Jenkins服务。右键点击Jenkins服务,选择属性。修改Jenkins配置文件在Jenkins服务属性窗口中,找到路径到可执行......
  • 常见网络攻击技术
    (1)SQL注入:Web应用未对用户提交的数据做过滤或者转义,导致后端数据库服务器执行了黑客提交的sql语句。黑客利用sql注入攻击可进行拖库、植入webshell,进而入侵服务器。(2)XSS跨站:Web应用未对用户提交的数据做过滤或者转义,导致黑客提交的javascript代码被浏览器执行。黑客利用......
  • 逻辑漏洞挖掘之CSRF漏洞原理分析及实战演练
    一、前言2月份的1.2亿条用户地址信息泄露再次给各大公司敲响了警钟,数据安全的重要性愈加凸显,这也更加坚定了我们推行安全测试常态化的决心。随着测试组安全测试常态化的推进,有更多的同事对逻辑漏洞产生了兴趣,本系列文章旨在揭秘逻辑漏洞的范围、原理及预防措施,逐步提升大家的安全......
  • .NET 反序列化 GetterSettingsPropertyValue 攻击链
    0x01 链路1 SettingsPropertyValueSettingsPropertyValue位于命名空间 System.Configuration,用于应用程序存储和检索设置的值,此类具有Name、IsDirty、Deserialized、PropertyValue、SerializedValue等多个公共成员,其中SerializedValue属性用于获取或者设置序列化的值,便于持久......
  • 智安网络|保护您的应用程序免受攻击:重要的安全强化措施
    在今天的数字化时代,应用程序安全成为了企业和个人必须重视的重要领域。应用程序普遍存在的安全漏洞成为黑客们进行攻击的一个突破口。为了保护敏感数据和个人隐私,我们必须了解并实施一系列的关键措施来加固应用程序的安全性。首先,一个关键的措施是进行全面的代码审查。应用程序中的......
  • 如何卸载ecs云硬盘以避免额外扣费
    如何卸载ecs云硬盘以避免额外计费使用华为云弹性云服务器时,我们在创建弹性云服务器(ecs)的过程中也同时创建了云服务器使用的云硬盘。然而,云硬盘在ecs关机时仍然处于使用状态,虽然不工作但仍然产生随使用时间增加的计费。如图,在扣费中,云硬盘费用占绝大部分。要避免因此产生的额......