文档章节

最牛「CSRF防护」,带你进入大虾们的圈子!

OneAPM蓝海讯通
 OneAPM蓝海讯通
发布于 2016/01/18 11:01
字数 1087
阅读 42
收藏 1

简单理解 CSRF

最牛「CSRF防护」,带你进入大虾们的圈子!

什么是 CSRF?

CSRF,通常称为跨站请求伪造,英文名 Cross-site request forgery 缩写 CSRF,是一种对网站的恶意攻击。一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的HTTP请求,包括该用户的会话 cookie 和其他认证信息,发送到一个存在漏洞的web应用程序。这就允许了攻击者迫使用户浏览器向存在漏洞的应用程序发送请求,而这些请求会被应用程序认为是用户的合法请求。与XSS相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

CSRF 攻击过程简述

最牛「CSRF防护」,带你进入大虾们的圈子! 访问受信任的站点 C,C 在您的浏览器中写入 Cookie , 您又访问含有攻击代码的站点 B, 站点 B 以您的身份向 A 发送了一个请求,而这个请求并没有经过您的同意或者并不是您想要发送的。

CSRF 的危害有哪些?

CSRF 可以用访问者的身份做很多事情,包括但不限于个人信息泄露、也可能会危害财产安全。

CSRF 常见攻击方式

常见的攻击方式大致可以分为以下几种

  1. Img 标签 GET 请求

例如修改当前已登录用户密码

    <img src="//rasp.oneasp.com/account/modifyPassword?new=123"/>
  1. Flash 或隐藏表单的主动提交

     <form action="//rasp.oneasp.com/account/modifyPassword">
       <input type="hidden" name="new" value="123"/>
     </form>
     <script>document.forms[0].submit()</script>
    
CSRF 如何防御

目前防护 CSRF 大多在服务器端进行验证和限制,客户端解决方案较少,实现成本也较高。服务端主要方式有以下几种

  1. Token 验证

这种方式可以过滤 95% 以上的 CSRF ,在表单提交时放入一个 token, 服务器验证该 token 是否有效。只允许有效的 token 请求, 否则拒绝当前操作。 但这种方式也有一定的局限性, 对于一些 GET 请求(例如获取当前用户信息的 GET 请求)加入 token 验证可能需要更改后端 API。

  1. Referer 验证

一般对于一些私有 API 完全可以拒绝非当前 origin 的 referer,在已知受信站点白名单的情况下,对于例如多站点共用的 API (例如权限系统)可以设置可访问 origin 的列表。需要注意在很多请求头中并没有 referer 或者 referer 不正确。

  1. 隐藏令牌 将独有的令牌包含在一个隐藏字段中。 这将使得该令牌通过 HTTP 请求体发送,避免其包含在 URL 中从而被暴露出来。该独有令牌同样可以包含在 URL 中或作为一个 URL 参数。 但是这种方法的巨大风险在于:URL 会暴露给攻击者, 这样秘密令牌也会被泄漏。

CSRF 防护 in Flask

flask-wtf

在 Flask 0.9.0版本后,可以使用 Flask-WTF 来防御 CSRF 攻击,Flask-WTF 默认对所有提交的表单启用 csrf 防护

wtf的token
<form method="post" action="https://www.oneasp.com">
    {{ form.csrf_token }}
</form>
非wtf的tokan

当使用非WTF表单的时候,可以将token放在一个隐藏域中,随表单一起提交

<form method="post" action="https://www.oneasp.com">
    <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
</form>
AJAX的token

Ajax的token可以放在隐藏域或其他标签中, 在通过js获取token, 随Ajax请求提交

<script type="text/javascript">
    var csrftoken = "{{ csrf_token() }}"
	// 或者
	var csrftoken = $('meta[name=csrf-token]').attr('content')
	
	$.ajaxSetup({
	    beforeSend: function(xhr, settings) {
	        if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type) && !this.crossDomain) {
	            xhr.setRequestHeader("X-CSRFToken", csrftoken)
	        }
	    }
	})
</script>
自定义 CSRF 验证失败后的逻辑

Flask提供装饰器@csrf.error_handler 来支持定制当CSRF验证失败后的返回信息

@csrf.error_handler
def csrf_error(reason):
    return render_template('csrf_error.html', reason=reason), 400

本文系 OneASP 前端工程师陈喜顺原创文章。如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneASP 自适应安全平台集成了预测、预防、检测和响应的能力,为您提供精准、持续、可视化的安全防护。想阅读更多技术文章,请访问 OneAPM 官方技术博客 本文转自 OneAPM 官方博客

© 著作权归作者所有

共有 人打赏支持
OneAPM蓝海讯通
粉丝 93
博文 631
码字总数 1266889
作品 0
海淀
私信 提问
Spring REST 配置CSRF防护

Spring REST 配置CSRF防护 内容从以下几个方面展开 什么是CSRF防护 如何运用CSRF进行防御(WEB) 如何将CSRF防御,运用到REST中 1.什么是CSRF CSRF 攻击简单来说,是多Tab页面浏览器的一个安...

Canaan_
2018/06/14
0
0
Laravel VerifyCsrfToken 报错解决

别管我,我只是个背景 报错情况 form 表单进行 post 方式提交数据时,遇到如下的报错情况. post 数据提交报错 原因 Laravel 推荐在全局注册 VerifyCsrfToken 的 Middleware ,对所有 Post,P...

moTzxx
2017/08/29
0
0
2016阿里安全峰会:我一次思想排空的旅程

2016年7月13-14号参加了2016阿里安全峰会,峰会主题是"聚力赋能”。我给自己的定义是思想排空的旅程。这是第一次参加大型安全峰会,谈不上受益匪浅,但是当见到哪些传说中的郭启全、大潘、赵...

cf123456
2016/07/14
0
0
网站后端.Security.浅谈CSRF跨站请求伪造?

CSRF是什么? 1.CSRF(Cross-site request forgery),跨站请求伪造,One Click Attack/Session Riding,缩写CSRF/XSRF CSRF可以做什么? 1.你可以这样理解CSRF攻击:攻击者盗用你的身份,以你的名义发...

满满李
2016/06/14
65
0
社交系统ThinkSNSPlus V2.1.0更新播报

社交系统ThinkSNSPlus V2.1.0更新播报 研发发布版本号:V2.1.0 更新发布时间:2018年10月22日 发布类型:功能优化、BUG修复 ThinkSNS+最新体验demo:请于官网下载/安装最新版或点击在线咨询...

ThinkSNS账号
2018/10/25
0
0

没有更多内容

加载失败,请刷新页面

加载更多

[Flowable]6.4.1五个war包部署

直接放tomcat http://localhost:8080/flowable-task http://localhost:8080/flowable-modeler http://localhost:8080/flowable-idm http://localhost:8080/flowable-admin http://localhost:......

Danni3
23分钟前
0
0
扩展spring cache 支持缓存多租户及其自动过期

spring cache 的概念 Spring 支持基于注释(annotation)的缓存(cache)技术,它本质上不是一个具体的缓存实现方案(例如 EHCache 或者 OSCache),而是一个对缓存使用的抽象,通过在既有代...

冷冷gg
27分钟前
0
0
Kafka连接器深度解读之转换器和序列化释疑

Kafka连接器是Apache Kafka®的一部分,提供数据存储与Kafka之间的流式集成。对于数据工程师来说,只需要使用JSON格式配置文件即可。目前已经有很多数据存储的连接器,仅举几例来说,包括JDB...

李玉珏
33分钟前
0
0
二进制取反

取反,是Java使用补码来表示二进制数,在补码表示中,最高位为符号位,正数的符号位为0,负数为1。 概念 编辑 补码的规定如下: 对正数来说,最高位为0,其余各位代表数值本身(以二进制表示)...

天王盖地虎626
今天
6
0
OSChina 周一乱弹 —— 可乐进化史

Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 @-冰冰棒- :#今日歌曲推荐# 分享Radiohead的单曲《Creep》 《Creep》- Radiohead 手机党少年们想听歌,请使劲儿戳(这里) @EdmondFrank :刚...

小小编辑
今天
1K
17

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部