Node中的CSRF攻击和防御

Node中的CSRF攻击和防御

假设有一个网上银行系统,用户可以通过该系统进行转账操作。转账功能的URL可能是这样的:

js 复制代码
https://www.bank.com/transfer?toAccount=123456&amount=1000

当用户登录到银行系统,并在浏览器中访问这个URL时,银行系统会执行转账操作,将1000元转入账户123456。

CSRF攻击过程:

  1. 受害者登录 :用户Alice登录到她的网上银行账户(比如www.bank.com)。

  2. 攻击者准备攻击页面 :攻击者Eve创建了一个恶意网站www.evil.com,并在该网站上嵌入了一段HTML代码或JavaScript代码,试图利用CSRF漏洞:

    html 复制代码
    <img src="https://www.bank.com/transfer?toAccount=999999&amount=1000" style="display:none">

    或者通过JavaScript发送请求:

    javascript 复制代码
    var img = new Image();
    img.src = "https://www.bank.com/transfer?toAccount=999999&amount=1000";
  3. 受害者访问恶意网站:当Alice在已经登录银行系统的情况下,访问了Eve的恶意网站,浏览器会自动执行页面中的代码,发送一个请求到银行系统。

  4. 请求执行:因为Alice已经在银行系统中登录,浏览器会带上Alice的会话Cookie。这时,银行系统收到请求后,会认为这是一个合法的请求,并执行转账操作,将1000元转入攻击者的账户999999。

防御措施:

  • 设置后端的cookie 禁止跨域携带cookie 我们只需要把cookie设置的 SameSite:Strict即可;
  • 验证 referer和Origin 每个页面都会带这哥俩 通过验证这哥俩也就可以了
  • 使用token 每一次请求都带token
  • 使用验证码 要求用户进行敏感操作的时候 填写验证码
  • 表单随机数(这种做法是在服务端渲染的时候用)
    • 1.生成一个随机数放到 session中
    • 2.生成页面时,表单中加入一个隐藏的表单域 : <input type="hidden" name:"Hash" value="<%=session['key']%>">
    • 3.服务端 进行验证随机数
    • 4.清除session中的随机数
  • 二次验证,比如要求用户获取验证码进行验证
相关推荐
苦逼的搬砖工几秒前
Flutter UI Components:闲来无事,设计整理了这几年来使用的UI组件库
前端·flutter
想买Rolex和Supra的凯美瑞车主2 分钟前
Taro + Vite 开发中 fs.allow 配置问题分析与解决
前端
ruanCat3 分钟前
使用 vite 的 base 命令行参数来解决项目部署在 github page 的路径问题
前端·github
Codebee8 分钟前
使用Qoder 改造前端UI/UE升级改造实践:从传统界面到现代化体验的华丽蜕变
前端·人工智能
叫我詹躲躲12 分钟前
开发提速?Vue3模板隐藏技巧来了
前端·vue.js·ai编程
华仔啊12 分钟前
面试都被问懵了?CSS 的 flex:1 和 flex:auto 真不是一回事!90%的人都搞错了
前端·javascript
前端康师傅15 分钟前
JavaScript 函数详解
前端·javascript
金金金__17 分钟前
antd v5 support React is 16 ~ 18. see https://u.ant.design/v5-for-19 for...
前端
会豪18 分钟前
工业仿真(simulation)--前端(二)-资源管理器
前端
Yuki’22 分钟前
网络编程---UDP
c语言·网络·网络协议·udp