码农知识堂 - 1000bd
  •   Python
  •   PHP
  •   JS/TS
  •   JAVA
  •   C/C++
  •   C#
  •   GO
  •   Kotlin
  •   Swift
  • web安全常见漏洞 之CSRF


    啥是CRSF:简单来说就是服务器把错误的浏览器请求给处理了。这个错误的请求是恶意攻击者想要的

    上图所示:用户访问了B服务器(恶意的),返回携带恶意脚本的页面,通过脚本,伪造访问了A,而且A也响应了,但是用户压根不知道。

    危害:请求可以伪造,并发送给用户,让他们做一切没打算做的操作,比如更改密码。。。。

    成因:

    • 请求没有在服务端验证(token,csrf token)
    • 服务器没有检查是否是用户生成的请求

    CSRF tokens

    服务器检查唯一的token,然后才处理

     

     解决方案

    1. 生成无法重用且不可预知的token

    • 值够大
    • 随机的
    • 唯一的
    • token算法中包含其他的因素,增加复杂度

    2. token以隐藏的形式嵌入html

    3. 提交表单时验证token

  • 相关阅读:
    《向量数据库指南》——TruLens + Milvus Cloud 构建RAG案例
    什么企业可以申报高新技术企业
    顺序表与单链表
    vue3 + ElementPlus 封装函数式弹窗组件
    高并发技巧-流量聚合和高并发写入处理技巧
    Arouter源码系列之拦截器原理详解
    论文《LogAnomaly:无结构日志中顺序和数量异常的无监督检测》翻译
    3.6 空值的处理
    通过webpack创建并打包js库到npm仓库
    同条网线电脑正常上网,手机连接wifi成功,但是无法访问互联网
  • 原文地址:https://blog.csdn.net/quandaquan/article/details/126779725
  • 最新文章
  • 【JVM】编译执行与解释执行的区别是什么?JVM 使用哪种方式?
    用 Hashids 优雅解决 C 端自增 ID 暴露问题
    V8引擎 精品漫游指南--Ignition篇(上) 指令 栈帧 槽位 调用约定 内存布局 基础内容
    LLVM Pass快速入门(四):代码插桩
    milkup:桌面端 markdown AI续写和即时渲染
    基于项目工程构建SBOM(软件物料清单)的研究
    鸿蒙应用开发UI基础第二节:鸿蒙应用程序框架核心解析与实操
    .NET 中如何快速实现 List 集合去重?
    扣子Coze实战:从0到1打造抖音+小红书热点监控智能体
    浅谈数据访问层
  • 热门文章
  • 十款代码表白小特效 一个比一个浪漫 赶紧收藏起来吧!!!
    奉劝各位学弟学妹们,该打造你的技术影响力了!
    五年了,我在 CSDN 的两个一百万。
    Java俄罗斯方块,老程序员花了一个周末,连接中学年代!
    面试官都震惊,你这网络基础可以啊!
    你真的会用百度吗?我不信 — 那些不为人知的搜索引擎语法
    心情不好的时候,用 Python 画棵樱花树送给自己吧
    通宵一晚做出来的一款类似CS的第一人称射击游戏Demo!原来做游戏也不是很难,连憨憨学妹都学会了!
    13 万字 C 语言从入门到精通保姆级教程2021 年版
    10行代码集2000张美女图,Python爬虫120例,再上征途
小工具 小游戏
Copyright © 2022 侵权请联系2656653265@qq.com    京ICP备2022015340号-1

京公网安备 11010502049817号