CSRF攻防基础讲解

news2024/11/15 4:58:54

CSRF攻击

  • Cross-site request forgery
  • 跨站请求伪造

场景模拟

在用户登录某个网站后,看到某篇文章高兴之余,挥手打字,突然有人发来一个链接,登录者打开链接后什么都没有操作或者只是好奇的点击了某个按钮,在原登录网站评论页多出了一条自己的评论记录???what happened?如果您或者您的朋友发生了这样的事情,那么请第一时间邮件反馈给网站维护者,您大概率可能是被攻击了,而这种攻击就是CSRF,下面逐步介绍其攻击原理和防范措施。

攻击原理

1.用户登录A网站
2.A网站登录成功后返回用户身份信息
3.B网站获取A网站的用户登录身份信息向A网站发起请求,并且携带了A网站的用户身份信息

攻击危害

  • 利用用户登录态* 用户不知情* 完成业务请求* …* 盗取用户资金(转账、消费)* 冒充用户发帖背锅* 个人隐私泄露CSRF 攻击防御
    =========

禁止第三方网站带Cookies

sameSite

samesite是HTTP响应头Set-Cookie的属性之一。它允许您声明该Cookie是否仅限于第一方或者同一站点的访问。SameSite接受下面三个值:

  • LaxCookies允许与当前网页的URL与请求目标一致时发送,并且与第三方网站发起的GET请求也会发送。浏览器默认值。
Set-Cookie: userId=123; SameSite=Lax; 
  • StrictCookies只会在当前网页的URL与请求目标一致时发送,不会与第三方网站发起的请求一起发送。
Set-Cookie:userId=123;SameSite=Strict 
  • NoneCookie将在所有上下文中发送,即允许跨域发送。使用None时,必须同时设置Secure属性(Cookie只能通过HTTPS协议发送),否则无效。

以下的设置无效:

Set-Cookie: userId=123; SameSite=None 

下面的设置有效:

Set-Cookie: userId=123; SameSite=None;Secure 

更多用法可以参考阮一峰老师SameSite属性介绍、MDN-SameSite,到此读者可能会疑惑 sameSite难道可以解决所有的CSRF攻击吗?答案:当然不是,sameSite受浏览器兼容性的影响,并不能解决防御所有攻击。兼容性列表在MDN的链接中。再按照攻击原理所理解,CSRF的攻击是不经过目标网站的前端的,那么我们是不是可以在此处“动手脚”尼?

在前端页面加入验证信息

验证码


处理思路:后端生成验证码保存并传递给前端;在前端提交表单数据中加入验证码并提交,在后端校验验证码存在和正确与否;

//验证码生成
var captcha = {};
var cache = {};
captcha.captcha = async function (ctx, next) {var ccpa = require('ccap');//验证码生成模块var capt = ccpa();var data = capt.get();captcha.setCache(ctx.cookies.get('userId'), data[0]);ctx.body = data[1]
}
captcha.setCache = function (uid, data) {cache[uid] = data;
}
captcha.validCache = function (uid, data) {return cache[uid] === data;
}
module.exports = captcha; 
//验证码校验
...
const data = ctx.request.body;
if(!data.captcha){
	throw new Error('验证码错误')
}
var captcha = require('../tools/captcha')
var resultCaptche = captcha.validCache(ctx.cookies.get('userId'),data.captche);
if(!resultCaptche){
	throw new Error('验证码错误')
}
... 

加入图形验证码对防御攻击可以起到很好的作用,但是每个表单都需要输入图形验证码且还要保证每次输入的验证码都正确。这对于用户来说是非常痛苦的一件事,由此可见这种方式在实际的使用中并不受用,那么有没有其他的更好的方案尼?

token验证


token其实是一段随机的字符串,它的作用是让攻击者发起请求时没有办法获取这个字符串,也就是必须要经过我们的页面,经过目标网站的前端。

  • 在 HTTP 请求中以參数的形式添加一个随机产生的 token,并在服务器端验证这个 token,假设请求中没有token 或者 token 内容不对,拒绝该请求。
  • 在HTTP请求头中,通过axios的配置参数,给所有的fetch请求全部加上Token这个HTTP请求头属性,并把Token值也放入请求头中。
//fetch.js
import axios from 'axios';

function getToken() {return localStorage.getItem('Token') ||'';
}
const fetch = axios.create({timeout: 60000 
});
fetch.interceptors.request.use(config => {config.headers['X-Token'] = getToken(); return config;},error => {closeLoding();Promise.reject(error);}
);
...
export default fetch; 

关于Token

1.Token可以保存在localStorage中
2.Token加密且签名
3.Token生成与过期机制
4.将 JSON Web Tokens 应用到 OAuth 2

Referer

  • 验证referer
  • 禁止第三方网站的请求
// 校验代码
const referer = ctx.request.headers.referer;
// 简易防御
if(referer.indexOf('localhost')=== -1){
	throw new Error('非法请求')
}
上面的防御对这个地址是无效的:http:xx.xx.xx?name="张三"&uid='112'&localhost=='哈哈哈'
// 正则表达式防御
if(<img src="https?:\/\/localhost/.test(referer))" style="margin: auto" />
	throw new Error('非法请求')
} 

当然这里还要考虑没有referer的情况哈

结语

安全作为系统的壁垒,重要程度不用多说。CSRF攻击更是安全防御的重中之中。本文记录的是笔者在开发过程中遇到的问题及处理的思路。可供有类似问题的读者参考。其他安全方面的文章笔者会持续更新,欢迎各位读者提出意见和建议。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/137235.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

猿客栈后台管理系统日志记录

目录 一、用户权限设置 前端逻辑 后端逻辑 二、登录界面逻辑 1、账号密码登录实现 前端逻辑 在Cookie中存储token的方法 在Cookie中存储和获取的token方法 后端逻辑 生成token工具类 2、手机号登录 前台逻辑 后台逻辑 补充&#xff1a;实现点击发送验证码120s倒计…

ThinkPHP 之 SQLI审计分析(二)

说明 该文章来源于同事lu2ker转载至此处&#xff0c;更多文章可参考&#xff1a;https://github.com/lu2ker/ 文章目录说明0x00 测试代码做了什么&#xff1f;0x01 分析调用0x02 漏洞点的发现、构造、利用0x03 总结Time&#xff1a;9-3影响版本&#xff1a;ThinkPHP5.0.10 Pa…

详细介绍chrony服务器

chrony服务器 硬件时间&#xff1a;BIOS里面&#xff1b;关机后依然运行&#xff0c;主板电池为它供电&#xff1b;RTC时钟 系统时间&#xff1a;开机后&#xff0c;软件启动读取硬件时钟&#xff0c;之后独立运行 Chrony 的配置文件是/etc/chrony.conf chronyd服务器端 ch…

【目标检测】Mask rcnn代码实现Pytorch版,适用30系列显卡!(测试版)

目录&#xff1a;Mask rcnn代码实现Pytorch版一、环境二、mmdetection环境搭建三、测试四、结果展示为什么选择使用Pytorch版本&#xff1f;因为本人换电脑了&#xff0c;显卡升级为30系列&#xff0c;而30系列显卡的 CUDA 版本要求是 11.x。一、环境 cudatoolkit …

MYSQL之两阶段提交和组提交(数据一致性)

我们在MySQL 的日志中详细的介绍了undo log、redo log、binlog这三个日志和所用到的一些缓存知识&#xff0c;那么下面我们分析一下更新语句执行过程&#xff0c;它们是怎么变化的呢&#xff1f;下面我们直接给答案吧。假如我们修改一行主键索引&#xff08;id&#xff09;为1的…

电力系统激励型需求响应+自适应多群体优化算法(Python实现)

目录 ​编辑 0 前言 1 激励型DR和价格型DR 2 激励型DR模型 3 Python代码实现 4 自适应多群体优化算法&#xff08;AMPO&#xff09; 5 Python代码实现 0 前言 风、光等清洁能源因具有环保、资源丰富等优点而受到电力行业的重视,电力行业开始大力发展清洁能源发电。同时…

MySQL详解,库和表的基础操作

目录 前言 一、预备知识 1、服务器&#xff0c;数据库&#xff0c;表关系 2、SQL分类 3、连接服务器 二、库的操作 1、创建数据库 2、查看字符集和校验规则 2.1 查看系统默认字符集以及校验规则 2.2 查看数据库支持的字符集和字符集校验规则 3、操纵数据库 3.1查看…

ros tf坐标

参考&#xff1a; 讲解&#xff1a;https://www.bilibili.com/video/BV1zt411G7Vn/?p18&vd_source3a1ad336af3eaae4fcced56c75d309d1ROS程序&#xff1a;https://gitee.com/guyuehome/ros_21_tutorials/tree/master/learning_tfROS2程序&#xff1a;https://gitee.com/gu…

公司企业兔年祝福元旦祝福贺卡邀请函模板!

能群发的贺卡邀请函如何制作&#xff1f;想制作一个专属的祝福贺卡邀请函有什么方法&#xff1f;下面跟着小编的乔拓云工具教程&#xff01;教你如何使用这个工具在线就能轻松搞定设计需求&#xff0c;不仅有海量模板供你使用&#xff0c;还能一键生成链接轻松转发&#xff01;…

利用vue-cli创建vue3工程

需注意&#xff1a;想创建vue3工程&#xff0c;对vue-cli版本有要求&#xff0c;必须确保vue-cli在4.5.0以上 目录 1、查看vue-cli版本 2、创建工程 3、启动 1、查看vue-cli版本 vue --version&#xff08;小写v&#xff09; vue --version或者 vue -V&#xff08;大写v&…

深入分析Java中finalize方法的作用和底层原理

finalize方法是什么 finalize方法是Object的protected方法&#xff0c;Object的子类们可以覆盖该方法以实现资源清理工作&#xff0c;GC在首次回收对象之前调用该方法。 finalize方法与C的析构函数的区别 finalize方法与C中的析构函数不是对应的&#xff0c;C中的析构函数调…

(小程序)后台交互-首页

目录 一、小程序首页动态数据加载 1.数据库准备 2.后台准备 ① pom.xml ② 配置数据源 ③ 整合mybatis ④ 代码生成 ⑤ mybatis-generator 二、准备前端的首页的数据 1、Promise 2.封装request 3.会议展示 三、通过wxs将首页动态数据优化 一、小程序首页动态数据加…

Git命令版(powernode)

Git命令版&#xff08;powernode&#xff09; 目录Git命令版&#xff08;powernode&#xff09;1.添加文件相关命令案例实操小结&#xff1a;2.工作区和暂存区2.1 名词解释。2.1.1 工作区&#xff08;Working Directory&#xff09;2.1.2 版本库&#xff08;Repository&#xf…

数据结构之双向链表

双向链表与单向链表较为类似&#xff0c;单向链表有一个指针域&#xff0c;用来指向后继结点&#xff0c;而双向链表有两个指针域&#xff0c;分别用来指向前驱结点和后继结点。玩双向链表时一定要从单向链表的思维中跳出来&#xff0c;否则在操作双向链表时就会出现各种问题。…

【Python百日进阶-数据分析】Day144 - plotly箱线图:go.box()实例

文章目录4.2 go.Box 箱线图4.2.1 基本箱线图4.2.2 基本水平箱线图4.2.3 显示基础数据的箱线图4.2.4 修改计算四分位数的算法4.2.5 带有预先计算的四分位数的箱线图4.2.6 彩色箱线图4.2.7 箱线图样式均值和标准差4.2.8 造型异常值4.2.9 分组箱线图4.2.10 分组水平箱线图4.2.11 彩…

一起学习用Verilog在FPGA上实现CNN----(四)池化层设计

1 池化层设计 自顶而下分析池化层的设计过程 1.1 Average Pool Multi Layer 图为该项目的平均池化层&#xff0c;其包含一个AvgPoolSingle单元&#xff0c;模块的输入为图像特征矩阵&#xff0c;输出为池化后的特征矩阵 图片来自附带的技术文档《Hardware Documentation》 …

Java开发学习(三十六)----SpringBoot三种配置文件解析

一、 配置文件格式 我们现在启动服务器默认的端口号是 8080&#xff0c;访问路径可以书写为 http://localhost:8080/books/1 在线上环境我们还是希望将端口号改为 80&#xff0c;这样在访问的时候就可以不写端口号了&#xff0c;如下 http://localhost/books/1 而 SpringB…

电脑屏录软件,这3款良心软件,分享给你

现在很多人会使用电脑屏录软件&#xff0c;有些用来记录游戏中的精彩操作&#xff0c;有些用来记录在线教学课程&#xff0c;有些用来记录在线视频会议。现在有各种各样的电脑屏录软件。选择一个好的电脑屏录软件是非常重要的。电脑屏录软件哪个好&#xff1f;下面小编分享3款良…

前端基础(四)_数据类型的强制转换

数据类型的强制转换就是通过js提供的函数进行数据转换。常见的就是将其他类型的数据转换成number类型和string类型。 一、其他类型转 number 类型 1.Number Number 方法将其他类型的数据转换为Number类型&#xff0c;返回一个新的数值&#xff0c;不会改变变量本身。 例1&…

【Linux】Linux编辑器-vim的使用以及指令集

推荐先将vim配置好后再使用会方便一些&#xff0c;就是将Linux下vim打造成C IDE的样子。自动配置vim vim1.vim的基本概念2.vim的基本操作2.1进入vim编辑界面2.2 如何在vim编辑代码2.3 退出vim并保存代码2.4一张图总结基本操作3.vim正常模式命令集3.1 进入插入模式和退出插入模式…