避免CSRF攻击的方案

CSRF攻击的方式

恶意网站发送对感兴趣网站的请求(或者正常网站发送恶意请求,但一般正常网站不可能这么做),显然,这肯定属于跨域请求了。

解决思路

跨域角度

首先,对跨域行为进行限制:

  • 限制cookie
    • 禁止第三方网站的cookie被携带:跨域请求时,不允许携带cookie。通过SameSite属性为strict来设置。
    • 限制cookie的作用范围:避免造成更大范围的攻击。
  • ajax请求:严格限制ajax请求的跨域白名单,并且服务端严格区分HTTP请求的动词,因为浏览器并不会阻止ajax的GET请求发出,服务端是可以处理跨域ajax的GET请求(以及OPTIONS、HEAD等),所以如果允许跨域ajax,则最多允许OPTIONS、HEAD、GET方法
  • 检查referrer首部

针对CSRF的方式

表单使用脚本自动提交

使用表单让脚本自动提交的方式可以进行CSRF攻击

html 复制代码
form method="POST" action="https://www.a.com/update" enctype="multipart/form-data"> 
    <input type="hidden" name="hello" value="update state"/> 
    .....
    <input type="hidden" name="attack" value="csrf attack"/> 
</form> 
<script> 
    document.forms[0].submit();
</script>
  • 只使用JSON API:避免application/x-www-form-urlencoded的form提交
  • 避免使用POST请求:该form提交只能使用GET或者POST
  • 不要对form表单进行方法重写:不要将form的POST请求重写为PUT、DELETE等
使用CSRF token进行请求验证

服务端下发用于CSRF token用于请求验证,客户端使用脚本进行请求时,携带该token进行验证,而恶意网站是无法获取到该token的值。这种方式要求token值一定要是随机生成。

  • 在表单内植入该token值:<input type="hidden" name="csrf_token" value="{``{ csrf_token_value }}" />
  • 在静态资源和a链接的URL内植入token:https://www.a.com/bbb/cc?a=b&csrf_token={``{csrf_token_value}}
  • 跨域的脚本请求可以使用自定义首部携带该token
相关推荐
予安灵6 天前
《白帽子讲 Web 安全》之跨站请求伪造
网络·安全·web安全·网络安全·csrf·跨站请求伪造
字节王德发13 天前
Django CSRF验证失败请求为什么会中断?
python·django·csrf
字节王德发15 天前
为什么Django能有效防御CSRF攻击?
okhttp·django·csrf
渗透测试老鸟-九青16 天前
面试经验分享 | 某安全厂商HW面试经验
网络·经验分享·安全·web安全·面试·xss·csrf
字节王德发17 天前
如何在Django中设置CSRF Token?
django·sqlite·csrf
Aishenyanying3317 天前
CSRF(跨站请求伪造)详解:原理、攻击方式与防御手段
csrf·跨站请求伪造·owastop10
奔跑吧邓邓子23 天前
【商城实战(23)】筑牢安全防线,防范常见漏洞
安全·springboot·uniapp·csrf·element plus·sql注入·商城实战
黑客老李1 个月前
某系统webpack接口泄露引发的一系列漏洞
前端·人工智能·安全·webpack·node.js·xss·csrf
linweidong1 个月前
希音(Shein)前端面试题集锦和参考答案
前端·arcgis·xss·csrf·前端面试·前端面经·webpack原理
C_V_Better1 个月前
Spring Security 如何防止 CSRF 攻击?
java·开发语言·数据结构·后端·算法·spring·csrf