資訊專欄INFORMATION COLUMN
摘要:小明是這個商城的一個用戶,已經通過了認證,并且是通過實現認證的。瀏覽器就會自動在這個請求上加上之前認證過的,而服務端是通過這個驗證是否本人操作的,這樣黑客就在小明完全不知情的情況下就得到了這個訂單的詳情。
昨天晚上偶然看到csrf這個問題,所以就去了解了一下csrf到底是個什么東西。
百度定義:
CSRF(Cross-site request forgery)跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。盡管聽起來像跨站腳本(XSS),但它與XSS非常不同,XSS利用站點內的信任用戶,而CSRF則通過偽裝成受信任用戶的請求來利用受信任的網站。與XSS攻擊相比,CSRF攻擊往往不大流行(因此對其進行防范的資源也相當稀少)和難以防范,所以被認為比XSS更具危險性
一個簡單的例子:
某網上商城獲取一個訂單詳情的接口是127.0.0.1/orders/orderId,并且需要認證過后才能訪問這個接口 口。小明是這個商城的一個用戶,已經通過了認證,并且是通過cookie實現認證的。現在一個黑客也想要訪問小 明在商城中某個訂單的詳情,他該怎么做呢?很簡單,只要在某個地方發布一個鏈接地址是 127.0.0.1/orders/orderId這個接口,誘使小明去點擊這個鏈接發送請求。瀏覽器就會自動在這個請求上加上 之前認證過的cookie,而服務端是通過這個cookie驗證是否本人操作的,這樣黑客就在小明完全不知情的情況下 就得到了這個訂單的詳情。這個接口的操作如果是 購買一個商品,刪除郵件的話,后果將非常可怕。
為什么會出現上面這種情況呢?
因為cookie是在向這個網頁發送請求時自動攜帶的,而我昨天困擾的問題就是為什么token會比cookie安全。 原因其實就是token一般存在sessionStorage或localStorage中,而它不能在本站點之外的其他站點獲取 到,所以就算你在別處點擊了一個包含這個接口的鏈接也不會導致token泄露。
如何防范csrf攻擊?
1.盡量使用POST,限制GET
post相對get來說更安全,但是還是能在鏈接中嵌套一個表單然后提交
2.設置瀏覽器cookie策略
禁止在第三方網站上使用cookie
3.加驗證碼
每次發送重要請求都通過驗證碼和服務端進行認證,這也非常安全,但是用戶體驗不好,重要的操作可以這也,但你不能關注一個用戶或者發布一個帖子也需要認證一次吧。
4.增加referer請求頭檢查
referer請求頭的值就是請求來源的地方,服務端可以通過判斷這個來源去分辨是否時csrf攻擊,但是一些黑客還是能通過一些技術很容易的去更改這個請求頭的值
5.使用token
這是最普遍的方法,每次發送請求都攜帶這個token,它與cookie不同的是,token可以是無狀態的,即服務端可以不用保存關于token的值,而是每次通過計算驗證這個token來判斷是否是當前用戶。
黑客還有沒有其他方法能獲取到小明訂單的詳情?
是可以的。黑客可以在商城一個商品的評價下面寫入一個js腳本并且通過圖片偽裝起來,只要小明查看了這個評價,這個js腳本就會自動加載,黑客就可以通過這個js腳本去獲取token值并且發送請求,因為當前js腳本是在本站內執行的,所以是可以訪問到token。上面這個攻擊方式就是xss,通過在用戶訪問的頁面嵌入js代碼使用戶或服務端受到攻擊。
其實xss就是csrf的一種實現方式,xss的防范比較困難,因為黑客可以通過很多方法在網頁中插入js或html代碼。可以通過在cookie中設置了HttpOnly屬性,那么通過js腳本將無法讀取到cookie信息,這樣能有效的防止XSS攻擊。而關于xss防范又是另一個話題了.....
可以簡單理解為csrf是讓用戶在不知情的情況,冒用其身份發起了一個請求,而xxs就是通過在網頁上插入js或html代碼發動攻擊
寫的比較亂,就是token和cookie這里沒有理解透導致這么久才搞懂這個問題。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/103604.html
摘要:何方神圣中文名字是跨站請求偽造,做的事情就是在別的網站,以你的名義對你登陸認證過的網站搞事情。中文名字是跨站腳本,做的事情就是在有漏洞的網站,寫個攻擊,或者存個另類的數據到網站數據庫,對使用網站的用戶造成困擾,屬于站內攻擊。 CSRF、XSS何方神圣 CSRF(Cross-site request forgery) 中文名字是跨站請求偽造,做的事情就是在別的網站,以你的名義對你登陸認 ...
摘要:競賽平臺項目中期總結軟件謝運帷我們小組的選題是大學生競賽平臺項目,經過我們需求分析,原型設計等等步驟,我們終于要開始著手實現這一個龐大的競賽平臺項目。 Cesar競賽平臺項目中期總結 軟件51 謝運帷 2015013185 我們小組的選題是大學生競賽平臺項目,經過我們需求分析,原型設計等等步驟,我們終于要開始著手實現這一個龐大的競賽平臺項目。我們使用Django+mysql處理后端邏輯...
摘要:在谷歌不是這樣,谷歌不會把特定的應用裝在某臺服務器上,業務應用和服務器的強綁定對于谷歌這種量級的數據中心的維護難度太高了。但是金融機構的數據中心規模不像谷歌這么大,所以能做到業務應用和硬件的強綁定。 復雜的基礎IT架構是傳統金融的現狀,如何快速響應用戶需求,加快新業務上線速度,縮短產品的迭代周期? 數人云在容器落地金融云的2年實踐中,實現金融核心業務技術WebLogic、J2EE、Or...
閱讀 3458·2021-11-22 12:00
閱讀 677·2019-08-29 13:24
閱讀 2909·2019-08-29 11:31
閱讀 2595·2019-08-26 14:00
閱讀 3191·2019-08-26 11:42
閱讀 2480·2019-08-23 18:31
閱讀 803·2019-08-23 18:27
閱讀 2851·2019-08-23 16:58
