表单form跨站请求伪造CSRF防御

原创 已于 2023-07-27 10:27:47 修改 · 571 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #前端 #web安全

于 2022-03-16 16:48:11 首次发布
该博客详细介绍了CSRF(跨站请求伪造)防御的逻辑流程,包括在用户访问表单页面时生成Token,将其存储在缓存中,并在表单提交时验证Token的一致性以防止非法请求。提供了生成Token的公共函数、HTML表单以及控制器中的验证代码,确保了表单提交的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CSRF防御逻辑流程:

  1. 用户访问某个表单页面。
  2. 服务端生成一个Token,放在用户的Session中,或者浏览器的Cookie中。(我放在缓存中)
  3. 在页面表单附带上Token参数。
  4. 用户提交请求后,服务端验证表单中的Token是否与用户Session(或Cookies)中的Token一致,一致为合法请求,不是则非法请求。

以下是代码参考

公共函数:

/**
 * 跨站请求伪造CSRF防御(表单提交使用,单页面多表单请使用 控制器/接口 传值共同使用)
 *
 * @return string
 *
 * @author qinglin
 */
function csrfToken(){
    $csrfToken = md5(rand());
    cache(session::getid().'_csrf_token', $csrfToken);
    return $csrfToken;
}

html表单:

<input type="hidden" name="csrf_token" value="{:csrfToken()}">

控制器表单提交:

// 跨站请求伪造CSRF防御
if(!isset($params['csrf_token']) || cache(session::getid().'_csrf_token') != $params['csrf_token']){
    $this->error('系统检测行为非法提交,请刷新页面重新填写提交');
}
CSRF 跨站请求伪造
m0_69043895的博客
04-19 1334
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比更具危险性。
html表单没的csrf保护,表单csrf保护
weixin_30047651的博客
06-19 958
## 表单提交和CSRF在本课程中,我们将介绍将表单数据提交到服务器的基本工作流程。在此过程中,我们将介绍一个新概念:`CSRF`(跨站请求伪造)。### 新手建议前面几节我们介绍了如何从数据库中获取数据,使用 `Tinker` 添加测试数据。接下来我们在页面中实现添加数据并展示。> 不论做任何复杂的功能,都是从简单开始,慢慢迭代,这里给新手一个建议,不论做什么都先按照 `路由->控...
跨站请求伪造-CSRF防护方法
03-12
跨站请求伪造-CSRF防护方法跨站请求伪造-CSRF防护方法
跨站请求伪造防御
wangyunfeis的博客
08-16 383
title: 跨站请求伪造防御 date: 2017-08-14 16:22:41 categories: 网络安全 tags: csrf --- 背景 最近安全问题越来越多,公司软件也面临出海,刚开始公司软件大部分部在公安内网,安全问题没有太多重视。最近买了安全公司的扫描软件,一扫扫出很多安全问题,其中有一个是跨站请求伪造问题。 常见的攻击模式 GET请求利用 使用GET请求
web 扫描漏洞:HTML form without CSRF protection 问题解决
dazhong2012的专栏
05-04 1432
一.扫描工具:acunetix 二.问题描述 该漏洞主要是利用用户登录网站中的session 或 cookie 信息,采用诱导链接,获取用户浏览器中的相关session 或 cookie ,发送恶意请求或重复攻击; 三.解决方法 1.在提交浏览器表单信息时,增加 token 或 随机数 参数,并将 参数 写入到 session 信息;后台校验时,通过 对比 表单参数和 session 中的参数的一致性,判断表单提交是否是来源于页面的正常请求。 jsp 页面代码如下: <%@ page language
CSRF 跨站请求伪造 防御方案
qq_44874626的博客
10-16 338
一.什么是CSRF跨站攻击? 名词解释(Cross-site request forgery)是跨站请求伪造. 攻击原理图: 1. 用户c在a站(www,abc.com)上登陆, a站会将登录信息保存在用户的Cookies中. 2.b站被黑客攻破,在某个页面上注入一串html代码: 如: <div style="displaty:none"> <img src="...
HTML form without CSRF protection,HTML表单没有CSRF保护
fujianmin19910915的博客
05-26 4873
HTML form without CSRF protection =HTML表单没有CSRF保护 CSRF伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站伪造请求。这种攻击方式是国外的安全人员于2000年提出,国内直到06年初才被关注,早期我们使用过CSRF攻击实现了DVBBS后台的SQL注射,同时网上也出现过动易后台管理员添加的CSRF漏洞等,08年CSRF攻击方式开始在BLOG、SNS等大型社区类网站的脚本蠕虫中使用。 CS..
「 典型安全漏洞系列 」03.跨站请求伪造CSRF详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-14 2275
CSRF 攻击通过在用户不知情的情况下,冒充用户身份向服务器发送请求。由于攻击者可以利用用户在站点上已存在的 cookie 进行身份验证,所以这种攻击往往不易被察觉。它与常见的 XSS(跨站脚本攻击)攻击有相似之处,都是利用 Web 应用程序的安全漏洞进行攻击。CSRF常年位于CWE Top10,可见其危害性及普遍性。排名源自CWE官网Note:如果想了解CWE,请参阅「 网络安全常用术语解读 」通用缺陷枚举CWE详解。
跨站请求伪造CSRF)攻击:原理、案例分析与防御策略
m0_61532714的博客
06-12 3056
多层次的综合防御策略,包括使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie,是防范CSRF攻击的关键。CSRF攻击的核心在于利用用户已经登录的身份,向目标网站发送恶意请求。攻击者通过构造恶意的GET请求,诱使用户点击链接或访问恶意网站,从而在用户不知情的情况下执行恶意操作。攻击者通过构造恶意的表单提交,诱使用户点击按钮或自动提交表单,从而在用户不知情的情况下执行恶意操作。在每个敏感操作的表单请求中包含一个的CSRF令牌,服务器在接收到请求时验证该令牌,请求的合法性。
csrf跨站请求伪造详解
m0_69962105的博客
11-24 1330
钓鱼网站搭建一个类似正规网站的页面用户点击网站链接,给某个用户打钱打钱的操作确确实实提交给了中国银行的系统,用户的钱也确实减少但是唯一不同的是,账户打钱的账户不是用户想要打钱的目标账户,变成了其他用户内部本质在钓鱼网站的页面针对对方账户,只给用户提供一个没有name属性的普通input框然后在内部隐藏一个已经写好带有name属性的input框如何避免上面的问题csrf跨域请求伪造校验网站在给用户返回一个具有提交数据功能的页面的时候会给这个页面加一个唯一标识。
跨站请求伪造CSRF)攻击:解析与防御策略
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
07-22 959
CSRF攻击发生在当一个恶意网站或链接诱使已登录特定应用的用户点击时,用户的浏览器会自动携带相应的Cookie发送到服务器,导致在用户不知情的情况下执行了恶意请求。这种攻击通常针对敏感操作,如转账、更改密码或提交表单等,因为这些操作往往不需要再次验证用户身份。跨站请求伪造CSRF)攻击是Web开发中不容忽视的安全隐患。通过理解其原理并采取有效的防御措施,我们可以大大降低被攻击的风险。前端开发者应当熟悉CSRF防御策略,并在实际工作中积极应用,以保护用户数据的安全
21 - form表单验证 和 csrf跨站请求伪造
m0_58250910的博客
08-29 454
定义 form 表单数据。post请求必须定义。
【记录】没有CSRF保护的HTML表单 漏洞解决办法
热门推荐
Damionew的博客
02-28 1万+
解决方法:Cookies Hashing:每一个表单请求中都加入随机的Cookie,由于网站中存在XSS漏洞而被偷窃的危险。 在Jsp文件头引入 &lt;%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%&gt; 在登录的jsp中添加 &lt;% //增加随机数,解决 ...
html表单缺乏csrf防护,表单验证因缺少CSRF而失败
weixin_30394975的博客
06-19 1558
我重置了本地flask环境,但是没有通过捕获它的依赖项,pip freeze然后再将其删除。因此,我不得不重新安装整个堆栈的最新版本。现在,我突然无法使用表单进行验证了。Flask声称CSRF将丢失。def register():form = RegisterForm()if form.validate_on_submit():...return make_response("register.h...
一文读懂跨站请求伪造CSRF)攻击及防御--安全基础系列
qq_44005305的博客
03-04 521
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
跨站请求伪造攻击(CSRF)的预防
my_one_piece的博客
09-30 744
跨站请求伪造攻击(CSRF)的预防 问题及解决思路 名词解释: 表单:泛指浏览器端用于客户端提交数据的形式;包括a标签、ajax提交数据、form表单提交数据等,而非对等于HTML中的form标签。 跨站请求伪造CSRF,Cross-site request forgery)是另一种常见的攻击。攻击者通过各种方法伪造一个请求,模仿用户提交表单的行为,从而达到修改用户的数据或执行
CSRF跨站请求伪造原理以及防御
互相学习
03-17 456
打V最近重新温习了一遍CSRF,决定写个博客简单记录一下CSRF的原理,方便以后复习之用。 CSRF CSRF的全称为 Cross-site request forgery,中文称为跨站请求伪造。顾名思义就是其他非法网站向合法网站发送被伪造的用户请求。 经典场景 CSRF的其中一个经典场景就是银行网银转账。 用户Bob登录了网银,并转了100元给朋友,转账完成之后Bob并没有点击登出网银。 网...
CSRF(1)-----定义,原理和防护-----from表单提交数据
Z_Grant的博客
09-22 2627
文章目录一,定义和原理(1)与XSS不同之处(2)CSRF实现的基础前提(3)????CSRF的危害(4)CSRF的利用条件(5)????为什么会有CSRF二,cookie与CSRF(1)浏览器所持有的cookie分为两种:(2)区别(3)与CSRF的关系三,漏洞利用(1)通过GET请求方式发起(2)只能由GET请求发起? 一,定义和原理 CSRF(Cross Site Request Forgery, 跨...
Flask框架(四)--分页,form表单类,csrf
一个非常正经的人的博客
10-17 354
一、分页 django中使用封装好的分页器paginator进行分页,它为我们提供了很多封装好的方法。 flask中需要自己封装。 封装 pager.py import math class Pager(): # data:列表 def __init__(self,data,page_size): ''' :param data: 数据 ...
跨站请求伪造CSRF实验
最新发布
04-03
### 关于跨站请求伪造CSRF)实验的设计与实施 #### 实验目标 通过设计并执行一个简单的 CSRF 攻击场景,验证攻击的工作原理以及其可能带来的危害。这有助于理解 CSRF 的本质及其防御方法。 --- #### 实验环境...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

每天都进步一点点

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值