当前位置: 首页 > news >正文

web安全常见漏洞 之CSRF

news 来源:原创 2024/5/10 5:37:53

啥是CRSF:简单来说就是服务器把错误的浏览器请求给处理了。这个错误的请求是恶意攻击者想要的

上图所示:用户访问了B服务器(恶意的),返回携带恶意脚本的页面,通过脚本,伪造访问了A,而且A也响应了,但是用户压根不知道。

危害:请求可以伪造,并发送给用户,让他们做一切没打算做的操作,比如更改密码。。。。

成因:

  • 请求没有在服务端验证(token,csrf token)
  • 服务器没有检查是否是用户生成的请求

CSRF tokens

服务器检查唯一的token,然后才处理

 

 解决方案

1. 生成无法重用且不可预知的token

  • 值够大
  • 随机的
  • 唯一的
  • token算法中包含其他的因素,增加复杂度

2. token以隐藏的形式嵌入html

3. 提交表单时验证token

相关文章:

  • 【面试题 - mysql】进阶篇 - 分库分表
  • 中秋节——嫦娥奔月
  • 文件的上传下载
  • 数学建模学习(101):车辆路线规划问题
  • 为Ubuntu网页设置稳定的数据隧道
  • 通宵三天 我做了一个超级好玩的中秋节小游戏
  • 都这麽大了还不快了解防火墙?
  • 【名词从句】名词从句的虚拟语气、主语从句、引导名词从句
  • SpringBoot中“@SpringBootApplication“自动配置原理《第七课》
  • MySQL-3-多表查询和事务(结合案例学习)
  • Go语言 和 Java语言对比理解系列一:函数参数传递
  • Transformer模型学习笔记
  • 14.Vue3过渡和动画实现
  • SCS【7】单细胞转录组之轨迹分析 (Monocle 3) 聚类、分类和计数细胞
  • EMQX Cloud全托管的 MQTT 消息云服务
  • [译] 怎样写一个基础的编译器
  • Python进阶细节
  • Ruby 2.x 源代码分析:扩展 概述
  • vue 配置sass、scss全局变量
  • vue总结
  • 从0到1:PostCSS 插件开发最佳实践
  • 规范化安全开发 KOA 手脚架
  • 基于 Babel 的 npm 包最小化设置
  • 解析带emoji和链接的聊天系统消息
  • 开源中国专访:Chameleon原理首发,其它跨多端统一框架都是假的?
  • 聊聊hikari连接池的leakDetectionThreshold
  • 如何解决微信端直接跳WAP端
  • 如何借助 NoSQL 提高 JPA 应用性能
  • 由插件封装引出的一丢丢思考
  • ionic异常记录
  • 继 XDL 之后,阿里妈妈开源大规模分布式图表征学习框架 Euler ...
  • # Swust 12th acm 邀请赛# [ A ] A+B problem [题解]
  • ###STL(标准模板库)
  • #include
  • #大学#套接字
  • $Django python中使用redis, django中使用(封装了),redis开启事务(管道)
  • (09)Hive——CTE 公共表达式
  • (2)STM32单片机上位机
  • (4)(4.6) Triducer
  • (42)STM32——LCD显示屏实验笔记
  • (C#)获取字符编码的类
  • (LeetCode 49)Anagrams
  • (PWM呼吸灯)合泰开发板HT66F2390-----点灯大师
  • (二)linux使用docker容器运行mysql
  • (附源码)php新闻发布平台 毕业设计 141646
  • (附源码)spring boot校园拼车微信小程序 毕业设计 091617
  • (六)什么是Vite——热更新时vite、webpack做了什么
  • (深入.Net平台的软件系统分层开发).第一章.上机练习.20170424
  • (太强大了) - Linux 性能监控、测试、优化工具
  • (转)JVM内存分配 -Xms128m -Xmx512m -XX:PermSize=128m -XX:MaxPermSize=512m
  • (转)程序员疫苗:代码注入
  • (最完美)小米手机6X的Usb调试模式在哪里打开的流程
  • .bat文件调用java类的main方法
  • .MSSQLSERVER 导入导出 命令集--堪称经典,值得借鉴!
  • .NET/C# 避免调试器不小心提前计算本应延迟计算的值