客户端安全-csrf

1.需求

理解并掌握CSRF攻击和防御

2.csrf的产生

盗个图说明(http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html)

B伪造成C,向A发起请求,达到了请求伪造的目的。

3.解决方式

1.处理表单数据的时候加一个标志,csrf_token。服务端生成,生成方式可以包含时间戳并加密,返回给客户端,每次客户端请求的时候要带上这个csrf_token,服务端验证,验证过了才执行真实的请求。(要注意防止xss引起的cookie劫持)

2.用验证码图片。也是一个道理。

4.解决方案

参考CI的框架的解决方案

参考资料:

(http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html)

时间: 2024-10-14 00:19:12

客户端安全-csrf的相关文章

开放平台鉴权以及OAuth2.0介绍

OAuth 2.0 协议 OAuth是一个开发标准,允许用户授权第三方网站或应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的内容. OAuth 2.0不兼容1.0. 协议的参与者 RO (resource owner): 资源所有者,对资源具有授权能力的人. RS (resource server): 资源服务器,它存储资源,并处理对资源的访问请求. Client: 第三方应用,它获得RO的授权后便可以去访问RO的资源. AS (authoriz

Django day002

安装 pip3 install django Python35\Scripts目录添加至环境变量 命令行操作 创建django工程: django-admin.exe startproject mysite(工程名) cd mysite 运行服务端,默认端口8000: python manage.py runserver 指定端口,运行服务器: python manage.py runserver 127.0.0.1:8001 创建app: python manage.py startapp c

从电商页面埋点说起

背景 互联网发展到现在,数据的重要性已经不需要再多的强调,那如何做好数据搜集的工作则是每一家公司都要面临的问题.尤其是像天猫.京东.寺库这样的电商公司,数据的统计可以提升用户购买的用户体验,可以方便运营和产品调整销售策略等等.可见页面埋点多么重要.今天就让我们从无到有制作一个埋点上报工具. 主要内容: 什么是埋点 埋点原理 埋点的种类 电商页面前端埋点规范 封装一个异步请求 IntersectionObserver -新一代元素观察接口 基于VUE从零开始封装一个前端数据埋点工具 后端日志格式(

Axios 封装拦截

一.axios的封装 在vue项目中,和后台交互获取数据这块,我们通常使用的是axios库,它是基于promise的http库,可运行在浏览器端和node.js中.他有很多优秀的特性,例如拦截请求和响应.取消请求.转换json.客户端防御cSRF等.所以我们的尤大大也是果断放弃了对其官方库vue-resource的维护,直接推荐我们使用axios库. 安装 npm install axios; // 安装axios 引入 一般我会在项目的src目录中,新建一个request文件夹,然后在里面新建

前端安全(XSS、CSRF防御)

一.网络安全 OWASP:开放式Web应用程序安全项目(OWASP,Open Web Application Security Project) OWASP是一个开源的.非盈利的全球性安全组织,致力于应用软件的安全研究.http://www.owasp.org.cn/ 二.XSS攻击 1.总述 2.XSS攻击原理 XSS攻击(Cross-Site Scripting)跨站脚本攻击. 被OWASP评为十大安全漏洞中的第二威胁漏洞. 特点:能注入恶意的HTML/JavaScript代码到用户浏览的网

CSRF防护

CSRF 1.什么是CSRF? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF. 2.原理 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤 : 1.登录受信任网站A,并在本地生成Cookie . 2.在不退出A的情况下,访问危险网站B. ps:注意并不是你退出了A后登陆B就会没事,因为你不能保证你关闭浏览器了后,你本地的Cookie立

XSS,CSRF

对于这两个攻击大家很容易混淆,今天我就通俗易懂地分析二者的根本区别.不懂包换! 1.跨站脚本攻击(XSS) XSS的全称为Cross site scripting 跨站脚本攻击,为了与CSS与分开来,因此简称XSS,是web中最常见的漏洞.指攻击者在网页中嵌入恶意的客户端脚本(例如Javascript),当用户浏览此网页时,脚本就会在用户的浏览器上运行,用户浏览器就会被攻击者控制.比如获取用户的cookie,导航到恶意网站,携带木马等.预防措施,防止下发界面显示html标签,把</>等符号转义

SQL 注入、XSS 攻击、CSRF 攻击

SQL 注入.XSS 攻击.CSRF 攻击 SQL 注入 什么是 SQL 注入 SQL 注入,顾名思义就是通过注入 SQL 命令来进行攻击,更确切地说攻击者把 SQL 命令插入到 web 表单或请求参数的查询字符串里面提交给服务器,从而让服务器执行编写的恶意的 SQL 命令. 对于 web 开发者来说,SQL 注入已然是非常熟悉的,而且 SQL 注入已经生存了 10 多年,目前已经有很成熟的防范方法,所以目前的 web 应用都很少会存在漏洞允许进行 SQL 注入攻击. 除非是入门开发人员,在开发

CSRF防御之ASP.NET MVC

MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施. 举个简单例子,譬如整个系统的公告在网站首页显示,而这个公告是从后台提交的,我用最简单的写法: 网站后台(Home/Index页面)设置首页公告内容,提交到HomeController的Text Action @using (Html.BeginForm("Text","Home",FormMethod.Po