4-3csrf token详解以及常见的防范措施

2023-10-17 15:30

本文主要是介绍4-3csrf token详解以及常见的防范措施,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

(2)CSRF案例演示及防范

 CSRF(post)实验演示和解析
 Anti CSRF token
 常见CSRF防范措施

Token是如何防止CSRF的?

CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造?
-每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!

在这里插入图片描述

就是这个token值

Token是如何防止CSRF的?

Ant上CSRF(token)项目的token生成代码:

在这里插入图片描述

当我们每次请求修改页面的时候,后台会先去调用一个函数,在实际的系统里面,会写的更复杂一点,当我们去请求页面的时候,后台会去查一下session里面,有没有token,如果有的话,就把它销毁掉,然后生成一个新的token,赋值到session里面去,这样就实现了,当我们每次刷新页面的时候,都会去生成一个新的token,然后把这个token放到session里面,放到session里面,是为了下一次提交请求过来之后,给你进行对比,当然后台会把这个session值echo到前端,埋到页面去

CSRF(token)实验演示

我们选择csrf(token),点登录之后,我们可以把bp打开,抓一个包

在这里插入图片描述

我们看到这里有个get请求,复制下来

GET /pikachu/vul/csrf/csrftoken/token_get_edit.php?sex=girl&phonenum=12345678922&add=1111&email=lucy%40pikachu.com&token=2245162ca799ea10a9787119296&submit=submit

,这个地方多出来token,这个token就是我们用来防止csrf的,因为我们每次请求这个token,都会发生变化

我们看一下,后端生成token,前端拿到token,你怎么提交到后端进行验证的,按F12,submit

在这里插入图片描述

每当我们打开页面的时候,它就会去访问token_get_edit.php,这个文件就会生成token,调用函数,将token,echo到前端

在这里插入图片描述

类型是隐藏的,前端通过肉眼是看不到的,其实在我们的代码里面,每当我们提交的时候,这个token会被提交到后台,它会对token进行验证,如果验过了,与当前生成的token相等,才会让我们提交,否则是不会让我们提交

如果小黑拿到lucy的token,因为这个token是随机的,也是唯一的,每个人的session对应的token都是不一样的,所以小黑用自己刷新出来的token给到lucy,是验不过去的,所以这个token是有效防止了csrf

在这里插入图片描述

如果你有提交,它会判断,你里面的内容是不是为空,你一定要满足,你提交过来的token跟我们session里面的token要相等,否则不会执行update操作

set_token();

每次我们去访问页面的时候,都会去调set_token

在这里插入图片描述

这个set_token是会把当前的session销毁掉,然后生成一个新的token在这个页面上

在这里插入图片描述

在每次请求的时候,直接echo到value里面去,这就实现了后端生成token,显示到前端,然后后端每次提交,前端显示验证,因为这个token跟session绑定的,随机的一个过程,攻击者是没法伪造的,这就是token防csrf的一个道理

防范措施

增加token验证(常用的做法):
1,对关键操作增加token参数,token值必须随机,每次都不一样;
关于安全的会话管理(避免会话被利用):
1,不要在客户端保存敏感信息(比如身份认证信息);
2,测试直接关闭,退出时的会话过期机制;
3,设置会话过期机制,比如15分钟内无操作,则自动登录超时;
访问控制安全管理:
1,敏感信息的修改是需要对身份进行二次认证,比如修改账号时,需要判断旧密码;
2,敏感信息的修改使用post,而不是get;

3,通过http 头部中的referer来限制原页面
增加验证码:
一般用在登录(防暴力破解),也可以用在其他重要信息操作的表单中(需要考虑可用性)

这篇关于4-3csrf token详解以及常见的防范措施的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/226303

相关文章

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

OpenHarmony鸿蒙开发( Beta5.0)无感配网详解

1、简介 无感配网是指在设备联网过程中无需输入热点相关账号信息,即可快速实现设备配网,是一种兼顾高效性、可靠性和安全性的配网方式。 2、配网原理 2.1 通信原理 手机和智能设备之间的信息传递,利用特有的NAN协议实现。利用手机和智能设备之间的WiFi 感知订阅、发布能力,实现了数字管家应用和设备之间的发现。在完成设备间的认证和响应后,即可发送相关配网数据。同时还支持与常规Sof

6.1.数据结构-c/c++堆详解下篇(堆排序,TopK问题)

上篇:6.1.数据结构-c/c++模拟实现堆上篇(向下,上调整算法,建堆,增删数据)-CSDN博客 本章重点 1.使用堆来完成堆排序 2.使用堆解决TopK问题 目录 一.堆排序 1.1 思路 1.2 代码 1.3 简单测试 二.TopK问题 2.1 思路(求最小): 2.2 C语言代码(手写堆) 2.3 C++代码(使用优先级队列 priority_queue)

K8S(Kubernetes)开源的容器编排平台安装步骤详解

K8S(Kubernetes)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。以下是K8S容器编排平台的安装步骤、使用方式及特点的概述: 安装步骤: 安装Docker:K8S需要基于Docker来运行容器化应用程序。首先要在所有节点上安装Docker引擎。 安装Kubernetes Master:在集群中选择一台主机作为Master节点,安装K8S的控制平面组件,如AP

嵌入式Openharmony系统构建与启动详解

大家好,今天主要给大家分享一下,如何构建Openharmony子系统以及系统的启动过程分解。 第一:OpenHarmony系统构建      首先熟悉一下,构建系统是一种自动化处理工具的集合,通过将源代码文件进行一系列处理,最终生成和用户可以使用的目标文件。这里的目标文件包括静态链接库文件、动态链接库文件、可执行文件、脚本文件、配置文件等。      我们在编写hellowor

LabVIEW FIFO详解

在LabVIEW的FPGA开发中,FIFO(先入先出队列)是常用的数据传输机制。通过配置FIFO的属性,工程师可以在FPGA和主机之间,或不同FPGA VIs之间进行高效的数据传输。根据具体需求,FIFO有多种类型与实现方式,包括目标范围内FIFO(Target-Scoped)、DMA FIFO以及点对点流(Peer-to-Peer)。 FIFO类型 **目标范围FIFO(Target-Sc

019、JOptionPane类的常用静态方法详解

目录 JOptionPane类的常用静态方法详解 1. showInputDialog()方法 1.1基本用法 1.2带有默认值的输入框 1.3带有选项的输入对话框 1.4自定义图标的输入对话框 2. showConfirmDialog()方法 2.1基本用法 2.2自定义按钮和图标 2.3带有自定义组件的确认对话框 3. showMessageDialog()方法 3.1

脏页的标记方式详解

脏页的标记方式 一、引言 在数据库系统中,脏页是指那些被修改过但还未写入磁盘的数据页。为了有效地管理这些脏页并确保数据的一致性,数据库需要对脏页进行标记。了解脏页的标记方式对于理解数据库的内部工作机制和优化性能至关重要。 二、脏页产生的过程 当数据库中的数据被修改时,这些修改首先会在内存中的缓冲池(Buffer Pool)中进行。例如,执行一条 UPDATE 语句修改了某一行数据,对应的缓

JVM 常见异常及内存诊断

栈内存溢出 栈内存大小设置:-Xss size 默认除了window以外的所有操作系统默认情况大小为 1MB,window 的默认大小依赖于虚拟机内存。 栈帧过多导致栈内存溢出 下述示例代码,由于递归深度没有限制且没有设置出口,每次方法的调用都会产生一个栈帧导致了创建的栈帧过多,而导致内存溢出(StackOverflowError)。 示例代码: 运行结果: 栈帧过大导致栈内存

OmniGlue论文详解(特征匹配)

OmniGlue论文详解(特征匹配) 摘要1. 引言2. 相关工作2.1. 广义局部特征匹配2.2. 稀疏可学习匹配2.3. 半稠密可学习匹配2.4. 与其他图像表示匹配 3. OmniGlue3.1. 模型概述3.2. OmniGlue 细节3.2.1. 特征提取3.2.2. 利用DINOv2构建图形。3.2.3. 信息传播与新的指导3.2.4. 匹配层和损失函数3.2.5. 与Super