link之家
链接快照平台
- 输入网页链接,自动生成快照
- 标签化管理网页链接
相关文章推荐
|
冷冷的洋葱 · 云南省纪委省监委网站· 3 周前 · |
|
|
玩篮球的创口贴 · 小米手机强解BL锁教程!华为,OPPO,VI ...· 6 月前 · |
|
|
欢快的夕阳 · 【恐女症总裁x女装大佬】《并不是我想穿女装》 ...· 1 年前 · |
|
|
痴情的高山 · 解读迪士尼713亿美元收购福克斯:文娱产业未 ...· 1 年前 · |
|
|
冷冷的板凳 · 71.6%受访者大学毕业时曾和伴侣因去向不同 ...· 1 年前 · |
csrf漏洞原理及防御
修改于2019-08-28 10:22:19
阅读
1.2K
0
攻击原理
从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤
1.登录受信任网站A,并在本地生成Cookie
2.在不登出A的情况下,访问危险网站B
防御原理
csrf能防御的本质是,黑客虽然携带了合法的cookie,但是他不知道带了什么,也没有跨域权限读取网页的任何信息,而网站可以。
1. 判断请求来源
•The Referer header (防火墙,浏览器插件或处于隐私策略会被删除)
•The Origin header (老版本浏览器不支持)
2.表单token验证,在提交表单的请求中添加token参数,后台验证(token需要存储在服务器端,占用内存资源)
3.重复携带token验证,提交请求时前端取到token(可放在页面中或cookie中),后台只需要对比提交的参数和cookie中的token是否相等即可。
未来浏览器的防御方式
通过设置cookie的SameSite属性,来限制请求是否携带cookie,关于samesite的说明如下图
落地措施
前端代码
csrf_token可放在meta,页面,cookie中都可以
1. 表单提交,把csrf_token值放在隐藏域即可
2. 简单get请求,csrf_token拼接到url参数中即可
3. AJax请求:
- jQuery:
$("body").bind("ajaxSend", function(elm, xhr, s){
If(csrf_token)
xhr.setRequestHeader('X-CSRF-Token', csrf_token);
});
- axios:
设置axios.defaults属性即可:
xsrfCookieName: 'XSRF-TOKEN', // default
xsrfHeaderName: 'X-XSRF-TOKEN', // default
- Fetch API(如果可以使用Fetch,那肯定可以使用orgin判断来源,这样更好)
•const getHeaders = () => {
• let headers = new window.Headers({
• 'Content-Type': 'application/json',
• 'Accept': 'application/json',
• 'X-Requested-With': 'XMLHttpRequest'
• })
• const csrfToken = document.head.querySelector("[name='csrf-token']")
• if (csrfToken) { headers.append('X-CSRF-Token', csrfToken) }
• return headers
•}
•export const createRequest = (url, method = 'get') {
• const request = new window.Request(url, {
• headers: getHeaders(),
• method: method,
• credentials: 'same-origin',
• dataType: 'json'
• })
• return request
•}
后台代码(此处只描述逻辑)
if(Referer存在且不在白名单) retrun "非法"
if(Origin存在且不在白名单) retrun "非法"
if(对比header中的X-CSRF-Token和cookie中X-CSRF-Token的值,不等) retrun "非法"
引用:
• https://erlend.oftedal.no/blog/static-130.html?blogid=130
• https://www.jianshu.com/p/14f569b13dcc
• https://www.cnblogs.com/qiantan/p/10755172.html
• https://www.acunetix.com/blog/articles/chrome-tightens-csrf-protection/
• https://www.cnblogs.com/ziyunfei/p/5637945.html
• https://www.jianshu.com/p/66f77b8f1759
• https://github.com/axios/axios
• https://github.com/github/fetch/issues/424
• https://pay.weixin.qq.com/wiki/doc/api/wxa/wxa_api.php?chapter=7_7&index=5
• https://pay.weixin.qq.com/wiki/doc/api/wxa/wxa_api.php?chapter=4_3
相关文章
作者介绍
精选专题
活动推荐
关注
腾讯云
开发者
公众号
将获得
10元无门槛代金券
洞察腾讯核心技术
剖析业界实践案例
Copyright © 2013 - 2023 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号: 粤B2-20090059 深公网安备号 44030502008569
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287
扫码关注腾讯云开发者
领取腾讯云代金券
推荐文章
|
|
冷冷的洋葱 · 云南省纪委省监委网站 3 周前 |