CSRF跨站請求偽造 漏洞修復

2021-10-23 19:03:06 字數 1773 閱讀 3595

csrf(cross-site request forgery),中文名稱:跨站請求偽造,也被稱為:one click attack/session riding,縮寫為:csrf/xsrf。

你這可以這麼理解csrf攻擊:攻擊者盜用了你的身份,以你的名義傳送惡意請求。csrf能夠做的事情包括:以你名義傳送郵件,發訊息,盜取你的賬號,甚至於購買商品,虛擬貨幣轉賬…造成的問題包括:個人隱私洩露以及財產安全。

可以在前端修復也可以在後端修復,一般前端和後端結合修復,這樣修復的效果比較好。

1.在需要修復的頁面生成隨機數,並把這個隨機數傳到後端校驗,校驗通過即可繼續下一步,校驗不通過跳轉指定頁面或者返回

2.後端使用過濾器生成加密的隨機數,並把隨機數傳到需要保護的頁面接收,頁面提交的時候把這個引數傳遞到後台做校驗。

public

class

sj******ments

filter

else

string salt = randomstringutils.

random(20

,0,0

,true

,true

, null,

newsecurerandom()

);csrfpreventionsaltcache.

put(salt, boolean.true)

; system.out.

println

("初始化生成的隨機數"

!--生成隨機數過濾器--

使用這種方式即可修復csrf漏洞,如有不對 歡迎指出。

跨站請求偽造 CSRF

跨站請求偽造 csrf 顧名思義就是在其他非法 呼叫了正常 的介面,攻擊的方法是在頁面中包含惡意 或者鏈結,攻擊者認為被攻擊的使用者有權訪問另乙個 如果使用者在那個 的會話沒有過期,攻擊者就能執行未經授權的操作。大多數 rails 程式都使用 cookie 儲存會話,可能只把會話 id 儲存在 co...

CSRF跨站請求偽造

前面說到xss跨站指令碼攻擊,現在來個複雜度更高一點的csrf跨站請求偽造 首先說一下rsrf的幾個要點 1.rsrf是通過各種方法 站內發布鏈結,qq郵箱發布鏈結等 讓登入使用者觸發請求,在使用者不覺察的過程中對使用者資料進行篡改,進而實現攻擊 2.通過xss可以獲取到使用者的session id...

CSRF 跨站請求偽造

csrf cross site request forgery 中文是跨站請求偽造。csrf攻擊者在使用者已經登入目標 之後,誘使使用者訪問乙個攻擊頁面,利用目標 對使用者的信任,以使用者身份在攻擊頁面對目標 發起偽造使用者操作的請求,達到攻擊目的。舉個列子 假如a站為受信任的銀行 其中有個銀行轉賬...