【网络安全】一文带你了解什么是【CSRF攻击】

CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,它利用已认证用户在受信任网站上的身份,诱使用户在不知情的情况下执行恶意操作。具体来说,攻击者通过各种方式(如发送恶意链接、在第三方网站上嵌入恶意代码等)诱导用户的浏览器发送未经授权的请求到受信任的网站。这些请求会携带用户的认证信息(如Cookie、Session),从而让受信任的网站误以为是用户本人发起的合法请求。

目录

1 CSRF攻击的基本原理

2 预防CSRF攻击的方法 

3 使用CSRF令牌(Token)的具体实现

3.1 在服务器端生成CSRF令牌

3.2 在HTML表单中包含CSRF令牌

3.3 在服务器端验证CSRF令牌

3.4 解析请求体(中间件)

3.5 完整的示例代码

3.7 注意事项


1 CSRF攻击的基本原理

  • 用户登录受信任的网站:用户在受信任的网站上登录,浏览器保存了该网站的会话Cookie。
  • 用户访问恶意网站:攻击者诱导用户访问恶意网站或点击恶意链接。
  • 恶意网站发送请求:恶意网站构造一个请求,利用用户的浏览器发送到受信任的网站。由于用户已经登录,浏览器会自动附带用户的会话Cookie。
  • 受信任的网站处理请求:受信任的网站接收到请求后,看到附带的合法会话Cookie,以为这是用户发起的合法请求,从而执行相应的操作。

2 预防CSRF攻击的方法 

  • 使用CSRF令牌(Token):在每次提交表单时,服务器生成一个唯一的CSRF令牌,并将其包含在表单中。服务器在处理请求时验证令牌的有效性,确保请求来自合法的来源。
  • 验证HTTP头部:检查请求的来源(Referer或Origin头部),确保请求是从受信任的域名发出的。
  • 使用双重提交Cookie:在请求中同时包含会话Cookie和一个自定义的CSRF令牌,服务器验证这两个值是否一致。
  • 使用SameSite Cookie属性:设置Cookie的SameSite属性为Strict或Lax,限制Cookie的跨站使用,从而减少CSRF攻击的风险。

CSRF攻击的目标通常是执行用户不希望的操作,例如更改账户设置、进行交易或发送敏感数据等。因此,理解和防范CSRF攻击对于保护用户的安全至关重要。

3 使用CSRF令牌(Token)的具体实现

使用CSRF令牌(Token)是防范CSRF攻击的一种有效方法。下面是一个具体的实现步骤,假设你使用的是Node.js和Express框架,前端使用HTML和JavaScript。

3.1 在服务器端生成CSRF令牌

首先,需要在服务器端生成一个唯一的CSRF令牌,并将其存储在用户的会话中。

const express = require('express');
const session = require('express-session');
const crypto = require('crypto');const app = express();app.use(session({secret: 'your_secret_key',resave: false,saveUninitialized: true
}));// 中间件:生成CSRF令牌并存储在会话中
app.use((req, res, next) => {if (!req.session.csrfToken) {req.session.csrfToken = crypto.randomBytes(32).toString('hex');}next();
});

3.2 在HTML表单中包含CSRF令牌

在服务器端的响应中,需要将CSRF令牌包含在HTML表单中,通常以隐藏字段的形式。

app.get('/form', (req, res) => {res.send(`<form action="/submit" method="POST"><input type="hidden" name="csrfToken" value="${req.session.csrfToken}"><!-- 其他表单字段 --><button type="submit">Submit</button></form>`);
});

3.3 在服务器端验证CSRF令牌

在处理表单提交请求时,服务器需要验证提交的CSRF令牌是否有效。

app.post('/submit', (req, res) => {const { csrfToken } = req.body;if (csrfToken !== req.session.csrfToken) {return res.status(403).send('CSRF token mismatch');}// 处理表单提交res.send('Form submission successful');
});

3.4 解析请求体(中间件)

为了从POST请求中解析CSRF令牌,需要使用body-parser中间件。

const bodyParser = require('body-parser');app.use(bodyParser.urlencoded({ extended: true }));
app.use(bodyParser.json());

3.5 完整的示例代码

下面是完整的示例代码,将上述步骤结合起来:

const express = require('express');
const session = require('express-session');
const crypto = require('crypto');
const bodyParser = require('body-parser');const app = express();app.use(session({secret: 'your_secret_key',resave: false,saveUninitialized: true
}));app.use(bodyParser.urlencoded({ extended: true }));
app.use(bodyParser.json());app.use((req, res, next) => {if (!req.session.csrfToken) {req.session.csrfToken = crypto.randomBytes(32).toString('hex');}next();
});app.get('/form', (req, res) => {res.send(`<form action="/submit" method="POST"><input type="hidden" name="csrfToken" value="${req.session.csrfToken}"><!-- 其他表单字段 --><button type="submit">Submit</button></form>`);
});app.post('/submit', (req, res) => {const { csrfToken } = req.body;if (csrfToken !== req.session.csrfToken) {return res.status(403).send('CSRF token mismatch');}// 处理表单提交res.send('Form submission successful');
});app.listen(3000, () => {console.log('Server is running on http://localhost:3000');
});

3.7 注意事项

  • CSRF令牌的生成和验证应尽量使用加密安全的随机数生成方法
  • 确保CSRF令牌的存储和传输安全,避免令牌被第三方窃取。
  • 每次会话开始时生成新的CSRF令牌,确保令牌的唯一性和不可预测性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/37666.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

excel修改批量一列单价的金额并保留1位小数

1.打开表格&#xff0c;要把单价金额变成现在的两倍&#xff0c;数据如下&#xff1a; 2.把单价这一列粘贴到一个新的sheet页面&#xff0c;在B2单元格输入公式&#xff1a;A2*2 然后按enter回车键,这时候吧鼠标放到B2单元格右下角&#xff0c;会出现一个黑色的小加号&#xf…

《信创数据库沙龙上海站:共话发展,智启未来》

2024 年 6 月 29 日周六 14:00&#xff0c;信创数据库沙龙在上海市徐汇区建国西路 285 号科投大厦 13 楼金星厅成功举办。本次活动吸引了众多学术界和产业界的专家、学者以及技术爱好者参与。 活动中&#xff0c;多位嘉宾带来了精彩分享。薛晓刚探讨了 Oracle 在国内的前景&a…

EAGLE-2:一种高效无损的推测性采样方法,提升LLM的推理速度。

欢迎关注我的公众号&#xff1a;Halo咯咯 01。概述 北京大学的研究人员联合微软研究院、滑铁卢大学以及Vector研究所共同推出了EAGLE-2&#xff0c;这是一种利用上下文感知的动态草图树来增强推测性采样的方法。EAGLE-2在先前的EAGLE方法基础上进行了改进&#xff0c;不仅显著…

python列表、元组、集合、字典整理

特征对比 下面是Python中列表、元组、集合和字典的特征对比表格&#xff1a; 特征列表 (List)元组 (Tuple)集合 (Set)字典 (Dictionary)定义符号[ ]( ){ }{ }可变性可变不可变可变可变有序性有序有序无序无序元素访问通过索引访问&#xff0c;索引从0开始通过索引访问&#x…

一个启动脚本例子

一、全部代码 #!/bin/bash DATE$(date %Y%m%d)SOURCE"abc.jar" TARGET"backup/abc.jar.jew.$DATE"if [ -f "$SOURCE" ]; thencp "$SOURCE" "$TARGET" firm -f abc.jar mv abc_1.jar abc.jarpidNumps -ef | grep $SOURCE |…

【源码+文档+调试讲解】基于vue的线上点餐系统

摘要 随着信息技术在管理上越来越深入而广泛的应用&#xff0c;管理信息系统的实施在技术上已逐步成熟。本文介绍了线上点餐系统的开发全过程。通过分析线上点餐系统管理的不足&#xff0c;创建了一个计算机管理线上点餐系统的方案。文章介绍了线上点餐系统的系统分析部分&…

电脑提示vcomp140.dll缺失怎么解决?vcomp140.dll是什么文件?

当你的电脑提示vcomp140.dll缺失的时候&#xff0c;你就应该要注意了&#xff0c;因为这个提示的出现&#xff0c;代表你的某个程序开不了&#xff01;想要程序能正常运行&#xff0c;那么只要修复好这个vcomp140.dll文件就可以了&#xff0c;下面我们就来给大家详细的说说说vc…

超详细之IDEA上传项目到Gitee完整步骤

1. 注册gitee 账号密码&#xff0c;gitee官网地址&#xff1a;Gitee官网&#xff0c;注册完成后&#xff0c;登录。 2. 创建仓库&#xff0c;在主页左下角有新建按钮&#xff0c;点击新建后会进入到此页面填写仓库信息。 3. 创建完成后复制仓库地址 4. 打开IntelliJ IDEA新建或…

python自动化之schedule

目录 代码&#xff08;以每5秒1次为例&#xff09;: 每5分钟1次 每2小时1次 每天18:00执行 用到的库&#xff1a;schedule&#xff0c;time 实现的效果&#xff1a;按秒来运行任务&#xff0c;按分钟来运行任务&#xff0c;按小时来运行任务&#xff0c;按天来运行任务 代…

鸿蒙3.0WebView网络错误问题

背景&#xff0c;荣耀9x&#xff0c;混淆才会出这个问题。 [ERROR:ssl_client_socket_impl.cc(981)] handshake failed; returned -1, SSL error code 1, net_error -2 NetError.java int SSLClientSocketImpl::DoHandshake() {crypto::OpenSSLErrStackTracer err_tracer(FRO…

Oracle新特性速递:未来数据库技术的无限可能

文章目录 一、自治数据库&#xff1a;智能化与自动化的革命二、机器学习集成&#xff1a;智能数据分析的新境界三、区块链技术&#xff1a;确保数据完整性与透明性四、云原生数据库&#xff1a;灵活扩展与快速部署五、人工智能优化器&#xff1a;智能查询执行计划《Oracle从入门…

centos7搭建zookeeper 集群 1主2从

centos7搭建zookeeper 集群 准备前提规划防火墙开始搭建集群192.168.83.144上传安装包添加环境变量修改zookeeper 的配置 192.168.83.145 和 192.168.83.146 配置 启动 集群 准备 vm 虚拟机centos7系统zookeeper 安装包FinalShell或者其他shell工具 前提 虚拟机安装好3台cen…

为什么我的Skype点数不见了?如何重新激活 Skype 点数?

您超过180天没有使用过点数打电话功能&#xff0c;点数暂时封存在您的账户里面&#xff0c;需要您手动激活&#xff08;目前必须要登录网页版skype&#xff09; 可再次使用。 如何重新激活 Skype 点数&#xff1f; 登录到你的帐户 . 选择 重新激活信用额度 .注意&#xff1a; …

MiniTest

1.编辑case文件first_test.py import minium class FirstTest(minium.MiniTest): def test_get_system_info(self): 2.编辑配置文件config.json { "project_path": "path/to/project", "dev_tool_path": "path/to/cli", "…

【Python】 Joblib:高效的Python作业调度和缓存工具

那年夏天我和你躲在 这一大片宁静的海 直到后来我们都还在 对这个世界充满期待 今年冬天你已经不在 我的心空出了一块 很高兴遇见你 让我终究明白 回忆比真实精彩 &#x1f3b5; 王心凌《那年夏天宁静的海》 在Python数据科学和机器学习中&#xff0c;处理…

喜讯!安全狗荣获“2023年网络安全技术支撑优秀单位”称号

6月6日&#xff0c;由中共厦门市委网络安全和信息化委员会办公室&#xff08;以下简称“厦门市委网信办”&#xff09;主办的2023年网络安全技术支撑优秀单位颁奖仪式在厦门成功举行。 作为国内云原生安全领导厂商&#xff0c;安全狗受邀出席此次活动。 会上&#xff0c;安全狗…

预约小程序源码,云开发技术,无需服务器

介绍&#xff1a; 很多企业的业务都需要通过服务预约来完成&#xff0c;比如酒店、美容、家政等等。 但很多商家因缺少合适的服务预订工具&#xff0c;而不知道如何让客户尽快预约。 这种情况下&#xff0c;制作一个自己的预约小程序&#xff0c;客户只需要扫码或者在微信里…

Eureka的桥梁:服务消费者交互全解析

Eureka的桥梁&#xff1a;服务消费者交互全解析 在微服务架构中&#xff0c;服务发现是确保服务间有效通信的关键机制。Eureka&#xff0c;作为Netflix开源的服务发现框架&#xff0c;扮演着服务注册中心的角色&#xff0c;为服务消费者和服务提供者提供了一个动态的服务注册与…

调用基类的纯虚函数,如何知道纯虚函数会调用哪个派生类(子类)中的实现。

在 C 中&#xff0c;调用基类的纯虚函数实际上是通过运行时多态性来决定调用哪一个派生类的实现。这种机制是通过虚函数表&#xff08;vtable&#xff09;和虚函数指针&#xff08;vptr&#xff09;实现的。下面我们来详细探讨一下这个过程。 虚函数表和虚函数指针 虚函数表&a…

开放签电子签章系统(企业版)V2.0.5版本详细更新内容

本次版本迭代间隔1月之久&#xff0c;新功能主要是增加文件的签署记录并生成报告&#xff0c;其次优化支持非A4规格的签约文件&#xff08;这个费时很久&#xff0c;主要原因是推翻之前的位置计算的逻辑&#xff0c;重新计算坐标位置&#xff09;&#xff0c;详细更新内容如下&…