PHP安全使用POST而不是GET来防范XSRF?
PHP安全使用POST而不是GET来防范XSRF的原因是,GET请求的参数会以明文形式出现在URL中,容易被恶意攻击者获取和篡改。而POST请求的参数则是通过请求体传输,相对安全一些。
XSRF(跨站请求伪造)是一种常见的网络攻击方式,攻击者通过诱使用户点击恶意链接或访问恶意网站,利用用户在其他网站上的登录状态,伪造用户的请求发送到目标网站,从而执行恶意操作。为了防范XSRF攻击,可以采取以下措施:
- 使用POST请求:将敏感操作(如修改、删除等)使用POST请求发送,而不是GET请求。因为GET请求的参数会出现在URL中,容易被攻击者获取和篡改。而POST请求的参数则是通过请求体传输,相对安全一些。
- 添加CSRF令牌:在表单中添加一个CSRF令牌(也称为防跨站请求伪造令牌),该令牌是一个随机生成的字符串,与用户会话相关联。在提交表单时,服务器会验证该令牌的有效性,如果令牌无效,则拒绝请求。这样可以确保请求是由合法的用户发起的,而不是恶意攻击者。
- 设置SameSite属性:在设置Cookie时,可以将SameSite属性设置为Strict或Lax。这样可以限制Cookie只能在同一站点的请求中发送,防止跨站点的请求伪造。
- 使用验证码:对于一些敏感操作,可以要求用户输入验证码,以增加安全性。验证码可以有效地防止自动化攻击和恶意机器人。
总结起来,通过使用POST请求、添加CSRF令牌、设置SameSite属性和使用验证码等措施,可以有效地防范XSRF攻击。在腾讯云中,可以使用腾讯云Web应用防火墙(WAF)来提供全面的Web应用安全防护,包括XSRF攻击的防范。具体产品介绍和相关链接请参考腾讯云Web应用防火墙的官方文档:https://cloud.tencent.com/product/waf
相关·内容
2回答
Cookie到头令牌CSRF保护
cookies、csrf、angularjs
我有一个角度应用程序,其中CSRF保护是使用Cookie到header令牌实现的。对抗CSRF是默认的AngularJS机制,它使用cookie XSRF-令牌和标头XSRF令牌.只有在我的域中运行的JavaScript才能从cookie中读取令牌并将其发送到标头中,因此提供保护的是标头。因此,它看起来像无状态CSRF保护,其中服务器不安全,并验证令牌的正确性。
但是,有人报告为漏洞,服务器不验证令牌正确性,并且可以在cookie XSRF-令牌和标头XSRF令牌中发送任意值,只要两个值都是相同的服务器接受请求。
📷
这真的是一个弱点吗?在第一次阅读这篇文章时,我认为这是错误的,这就是这种机制
浏览 0提问于2021-09-07得票数 0
回答已采纳
2回答
是否需要在服务器端生成抗XSRF/CSRF令牌?
security、web、csrf、csrf-protection
几乎所有关于反CSRF机制的文档都指出,CSRF令牌应该在服务器端生成。不过,我想知道是否有必要。
我想在这些步骤中实现反CSRF:
没有服务器端生成的CSRF令牌;
在浏览器端,在每个AJAX或表单提交中,我们的JavaScript生成一个随机字符串作为标记。在实际AJAX或表单提交发生之前,将此令牌写入cookie csrf;并将令牌作为_csrf添加到参数中。
在服务器端,每个请求都应该有cookie csrf和提交的参数_csrf。对这两个值进行了比较。如果他们是不同的,这意味着这是一个CSRF攻击。
服务器端不需要发出CSRF令牌,只需进行检查;令牌完全在浏览器端
浏览 2提问于2016-12-14得票数 4
1回答
GET请求上的ASP.NET MVC - CSRF
c#、asp.net-mvc、security、csrf
我们有一个ASP.NET MVC应用程序。使用@Html.AntiForgeryToken和ValidateAntiForgeryToken属性保护所有POST请求(表单提交)不受CSRF的影响。控制器上的操作方法之一是一个GET,它向用户返回一个报告(一个pdf文件,包含来自数据库的数据)。签名是:
[AcceptVerbs(HttpVerbs.Get)]
public ActionResult GetReport()
{
// get data from db
return GetReport();
}
下面是针对此操作测试CSRF的步骤:
用户登录到应用程序
登
浏览 5提问于2016-02-18得票数 13
回答已采纳
2回答
SameSite cookie属性与同步器令牌模式
web-application、web-browser、http、cookies、csrf
最近,大多数浏览器增加了对SameSite cookie属性的支持,以防止CSRF攻击:https://www.owasp.org/index.php/SameSite。
如果支持,我们是否应该实现同步器令牌模式来防止CSRF攻击?https://www.owasp.org/index.php/Cross-Site_请求_伪造_(CSRF)_预防_作弊_Sheet#Synchronizer_令牌_模式
SameSite是否能防止至少与同步器令牌模式相同的CSRF攻击?
我知道SameSite选项是strict和lax,我们可能会使用lax值。
添加的
如果我们只在支持设置( SameSite
浏览 0提问于2019-01-13得票数 2
回答已采纳
2回答
Django CSRF cookie可通过javascript访问?
django、django-csrf
在django网站上,声明:
The CSRF protection is based on the following things:
1. A CSRF cookie that is set to a random value (a session independent nonce, as it is called), which other sites will not have access to.
2. ...
然后,它还声明可以通过javascript从cookie获得csrf令牌:
var csrftoken = $.cookie('csrftoken');
浏览 6提问于2013-07-30得票数 5
回答已采纳
1回答
没有剃须刀页面的ASP.NET核心API,使用单独的web应用程序进行前端和反伪造标记--这有意义吗?
c#、asp.net-core、.net-core、cors、antiforgerytoken
是否有必要通过使用防伪令牌来处理XSRF/CSRF的严格后端API,而最终将被迫使用一个为用户提供静态内容的特定web域来处理跨站点web请求?
后端API使用cookie来帮助用户进行身份验证,因此需要考虑CSRF,但是通过使用CORS,后端API将只接受与特定域的通信。
这里有什么问题吗?而且,如果防伪令牌是有意义的,那么当前端位于一个完全独立的域时,它们将如何使用呢?它可以移动到子域.。
浏览 4提问于2022-01-27得票数 -1
回答已采纳
1回答
排除我的linux服务器上的“连接重置”错误
linux、apache-2.2、centos5
我热切希望这里的人能帮助我解决我所遇到的问题。我是一个程序员,对linux术语/概念知之甚少。我正试图解决我的网站的问题。这是一款Facebook应用程序,每当我尝试使用Chrome进行连接时,都会出现一个错误,即“连接被重置”。我一直在谷歌上搜索了四天,一直试图找到解决这个问题的方法,但没有找到喜悦。问题的很大一部分是,我不理解正在使用的术语,而且引用的许多工具的输出对我来说也是难以理解的。
我正在使用CentOS 5、apache、PHP和MySQL运行VPS。
我可以用我的iptable,apache等的大量信息来垃圾邮件,但是如果有人需要我的服务器的信息,请让我知道如何获取它,我会在这
浏览 0提问于2012-09-15得票数 3
2回答
csrf令牌的真正用途是什么?
csrf
当我们处理表单页面时,建议使用令牌来防止csrf攻击。我看到许多csrf令牌被设置为隐藏的HTML字段或在用户cookie/头文件中。我认为csrf可以防止自动攻击,但实际上,这些令牌并不能阻止黑客解析HTML/Cookies,提取crsf令牌,然后发出请求。
那么,这种保护的目的是什么呢?
浏览 0提问于2020-04-27得票数 -1
2回答
CSRF澄清和解密
web-application、javascript、csrf
我理解跨站点请求伪造是如何发生的,但是我非常不清楚如何使用SPA(React)应用程序来保护它。
例如,我的当前策略是,在登录时,将csrf令牌作为cookie发送到客户端,在客户机上,获取该cookie并将其包含在req.body或自定义标头中。
我的快速后端正在使用CSURF包,并将在任何POST路由上验证令牌。
但是,这怎么安全呢?恶意网站可以做完全相同的事情,点击我的登录,接收令牌,添加到标头,然后做任何事情。
在SPA中,在我的API与发送我的客户端应用程序的服务器分离的SPA中,什么是防止CSRF的正确方法?
浏览 0提问于2019-09-23得票数 2
4回答
有没有免费好用的网站防护软件推荐?
网站、网站建设、建站、网站安全
建站萌新 网站一直被打 求安利,搜到了某塔WAF 和某社区版WAF 和某墙WAF 有么有懂行的师傅,和腾讯云的对比咋样
浏览 135提问于2023-12-28
1回答
XSRF- Laravel中的令牌
php、laravel、validation、header、csrf
我在laravel中实现了登录,在登录请求中有两个令牌,一个在主体中,另一个在标头cookie中。
当我删除主体令牌的值时,它的显示页面过期了错误,但是当我删除xsrf-token值时,它没有显示任何错误,并且登录已经成功
POST /login HTTP/1.1
Host: <host>
Content-Length: 513
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: <Origin Address>
Content-Type: application/x-www-form-urlenc
浏览 2提问于2020-07-09得票数 0
2回答
在JavaScript中存储XSRF值是否更安全?
web-application、javascript、xss、csrf
为了保护自己不受XSRF的影响,您需要在页面上有一个单独的令牌。
请参阅:编码恐怖:防止CSRF和XSRF攻击,由杰夫阿特伍德著
如帖子所示,最好将这些标记放在表单中的一个隐藏字段中。但我想知道,是否可以将它们存储在匿名函数中,以便在提交时添加值?
虽然我可以在通常的方法中看到针对XSS的漏洞,但在我的方法中不应该提交有效的表单。如果有人用XSS控制DOM,隐藏字段中的令牌很容易被显示,除非它是一个不可访问的javascript变量。
浏览 0提问于2013-05-18得票数 3
回答已采纳
1回答
在响应体中返回JWT令牌给GET请求带来的安全风险?
csrf、jwt、same-site-cookies
在响应体中将用户的JWT返回到GET请求是否存在安全风险?只为经过身份验证的用户返回JWT。身份验证通过存储为HttpOnly、Secure、SameSite:Lax cookie的JWT进行管理。
流程,详细:
用户向GET请求my.com/api/session。请求包括上面提到的用户的JWT cookie。
服务器验证身份验证cookie,并且--对于经过身份验证的用户--在响应体中返回JWT。
在不支持SameSite:Lax的浏览器中是否存在CSRF攻击的风险?在这种情况下,恶意站点是否可以向GET请求my.com/api/session,并且--如果用户登录到我们的站点--该请求中
浏览 0提问于2021-11-16得票数 1
回答已采纳
2回答
403使用csrf angularjs时禁用
angularjs、express、csrf
我在我的项目中使用了库,但它不起作用。这是我的代码:
server.js
var express = require('express');
var bodyParser = require('body-parser');
var cookieParser = require('cookie-parser');
var csrf = require('csurf');
var line = require('./server/line');
app.use(cooki
浏览 0提问于2017-07-22得票数 0
2回答
Spring安全与CSRF攻击
java、spring、security、spring-security、csrf
我正在开发一个应该非常安全的java web应用程序,所以我在SSL服务器上使用了支持CSRF的spring安全性和spring;我使用POST成功地提交了所有表单以及生成的CSRF令牌,但是有些页面有获取方法,如果任何攻击者从任何浏览器打开任何页面的源,他都可以在表单标记中看到生成的CSRF令牌,然后只要会话受到攻击,他就可以使用它将任何内容发布到我们的站点!我说的对吗?
我该怎么做才能保证网站的安全?我是否应该使用任何其他开源和spring安全性来覆盖其他攻击,如跨站点脚本,等等。?我应该强制所有页面使用POST来避免CSRF攻击吗?
更新
我尝试使用与登录用户相同的令牌,通过客户端工具在
浏览 7提问于2017-09-24得票数 0
回答已采纳
3回答
X-CSRF-令牌或XSRF令牌有什么意义,为什么不直接使用严格相同的网站cookie呢?
laravel、security、cookies、csrf、csrf-token
等框架要求您将csrf令牌放在您的HTML中。
但是,与此同时,laravel默认使用VerifyCsrfToken中间件,该中间件在每个响应上都会自动创建带有csrf令牌的X-XSRF-TOKEN cookie。这个cookie用于ajax请求,例如,它是axios头部的。
我想知道为什么需要将csrf令牌添加到每个HTML表单中。为什么不能仅仅使用已经存在的X-XSRF-TOKEN cookie来验证csrf令牌。我知道存在同一个网站cookie的问题,如果您的csrf cookie设置为lax或none,那么cookie将从外部站点发送到我的站点。但是,这个问题可以通过将相同的站点设置为
浏览 22提问于2022-05-13得票数 1
回答已采纳
1回答
如何防止CSRF攻击?
javascript、html、node.js、express、csrf
我想阻止CSRF攻击我的API (速成应用程序nodejs),我搜索了谷歌和youtube,但我找不到办法去做。在youtube教程中,它说生成一个令牌并将其发送到客户端,但黑客会不会仅仅发送一个请求来获取csrf令牌并绕过csrf?我很困惑请帮帮忙。
浏览 4提问于2022-03-01得票数 -1
回答已采纳
1回答
可以在Django中禁用CSRF作为松弛斜杠命令api mad吗?
django、csrf、slack、slack-commands
它是否禁用CSRF功能,这是slash命令服务器的最佳实践吗?
我想通过一个 (例如,/test )在Django中调用一个API视图函数。
当我使用任何浏览器(所以是GET请求)调用视图函数的URL时,它的工作原理是预期的。
但是,当我在Slack中运行/test时,403_client_error在slack中,Forbidden (CSRF cookie not set)在Django shell中。
我相信这是因为Slack发送一个POST请求,Django需要CSRF令牌来处理任何POST请求。
我的问题是我是否应该禁用这个视图的CSRF检查。会有很大的风险吗?或者有什么解决办法?
浏览 0提问于2018-07-31得票数 0
回答已采纳
2回答
令牌如何防止csrf攻击?
javascript、security、csrf、csrf-protection
我读过关于CSRF的文章,以及如何使用不可预测的同步器令牌模式来防止它。我不太明白它是怎么工作的。
让我们来看看这个场景:
用户将使用以下表单登录到网站:
<form action="changePassword" method="POST">
<input type="text" name="password"><br>
<input type="hidden" name="token" value='asdjkldssdk22332n
浏览 6提问于2015-07-09得票数 34
回答已采纳
2回答
新标签和浏览器窗口中的CSRF令牌
security、cookies、http-headers、csrf
我在我的nodejs服务器上通过以下方式实现了CSRF攻击预防-
登录用户接收CSRF令牌和cookie (存储在cookie中的基于JWT的令牌)。CSRF令牌是使用$.ajaxSetup从客户端发送的所有未来请求头的一部分。
每当用户发出请求(GET或POST)时,我将客户机发送的cookie和csrf令牌(在标头中)与服务器上存储的标记进行比较,应用程序可以正常工作。
但是,当登录用户打开新的选项卡或新的浏览器窗口时,客户端有cookie,但请求头中没有CSRF令牌。因此,服务器将此视为CSRF攻击,并阻止请求!
我的问题是--在不损害CSRF安全性的情况下,如何让同一个会话在多个浏览器
浏览 8提问于2016-02-07得票数 3
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
