csrf令牌丢失或不正确

CSRF（Cross-Site Request Forgery）是一种网络安全攻击方式，攻击者通过伪造用户的身份，向目标网站发送恶意请求，从而执行未经授权的操作。当用户在登录状态下访问恶意网站或点击恶意链接时，攻击者可以利用用户的身份信息发送请求，例如修改用户密码、发表评论、转账等。

为了防止CSRF攻击，常见的解决方案是使用CSRF令牌（CSRF Token）。CSRF令牌是一种随机生成的字符串，由服务器生成并嵌入到用户的表单中或者通过Cookie发送给用户。当用户提交表单时，服务器会验证表单中的CSRF令牌是否与用户的身份匹配，如果不匹配则拒绝请求。

CSRF令牌的作用是防止攻击者伪造用户身份进行恶意操作。攻击者无法获取到用户的CSRF令牌，因为它是随机生成的，并且每次请求都会变化。只有在用户访问受信任的网站时，才能正确地携带有效的CSRF令牌，从而通过服务器的验证。

CSRF令牌的应用场景包括但不限于：

用户登录和认证：在用户登录和认证过程中，使用CSRF令牌可以防止攻击者伪造用户身份进行恶意操作。
表单提交：在涉及用户输入的表单提交过程中，使用CSRF令牌可以防止攻击者伪造用户提交恶意数据。
交易和支付：在涉及交易和支付的场景中，使用CSRF令牌可以防止攻击者伪造用户进行非法的转账或支付操作。

腾讯云提供了一系列安全产品和服务，可以帮助用户防御CSRF攻击，例如：

腾讯云Web应用防火墙（WAF）：WAF可以对用户的请求进行实时监控和过滤，识别和阻止潜在的CSRF攻击。
腾讯云安全组：安全组可以对云服务器的入站和出站流量进行访问控制，限制恶意请求的访问。
腾讯云身份认证服务（CAM）：CAM提供了身份认证和访问管理的功能，可以帮助用户管理和控制用户的访问权限，防止未经授权的操作。

更多关于腾讯云安全产品和服务的信息，您可以访问腾讯云官方网站：腾讯云安全产品。

不相信JWT令牌+ CSRF令牌的安全性

authentication、xss、csrf、jwt、token

假设我有一个web应用程序，在其身份验证方案中使用了JWT令牌和CSRF令牌。据我所知，它是这样运作的：当用户登录时，客户端发送一个登录request.。服务器将签名的JWT令牌设置为一个cookie，其响应头中有Set-Cookie ... ;Secure ;httpOnly。这可以防止XSS攻击，因为Javascript.无法访问cookie。服务器还发送没有httpOnly设置的CSRF令牌，以便JavaScript code.可以读取它。当客户机提出任何未来的请求时，JWT cookie将自动发送，CSRF必须在请求头中设置。这应该可以防止CSRF攻击，因为CSRF cook

浏览 0提问于2018-11-29得票数 1

1回答

GET请求上的ASP.NET MVC - CSRF

c#、asp.net-mvc、security、csrf

我们有一个ASP.NET MVC应用程序。使用@Html.AntiForgeryToken和ValidateAntiForgeryToken属性保护所有POST请求(表单提交)不受CSRF的影响。控制器上的操作方法之一是一个GET，它向用户返回一个报告(一个pdf文件，包含来自数据库的数据)。签名是： [AcceptVerbs(HttpVerbs.Get)] public ActionResult GetReport() { // get data from db return GetReport(); } 下面是针对此操作测试CSRF的步骤：用户登录到应用程序登

浏览 5提问于2016-02-18得票数 13

回答已采纳

3回答

在基于OAuth2的身份验证中，状态参数可以防止什么样的CSRF攻击？

security、authentication、google-oauth、csrf、openid-connect

我正在研究Google的身份验证部分。我使用的是“服务器”流，而不是“隐式”。在实现步骤1以获取code准则时，建议使用state参数来确保最终服务提供者将收到与他发起的auth请求相关的响应。请参阅据我所知，code有可能被偷，redirect_uri猜到了。但我不明白为什么这叫做反CSRF保护？根据 CSRF攻击，“利用站点在用户浏览器中的信任”。据我所知，应该在浏览器中保留一些敏感的内容，以使CSRF攻击成为可能。最经典的例子-认证曲奇。但是，在浏览器中，与OpenID有关的是什么--连接代码流？这仅仅是两个后续的重定向从服务提供者到身份提供者和返回。代码本身在回调时

浏览 3提问于2019-11-12得票数 10

回答已采纳

2回答

CSRF澄清和解密

web-application、javascript、csrf

我理解跨站点请求伪造是如何发生的，但是我非常不清楚如何使用SPA(React)应用程序来保护它。例如，我的当前策略是，在登录时，将csrf令牌作为cookie发送到客户端，在客户机上，获取该cookie并将其包含在req.body或自定义标头中。我的快速后端正在使用CSURF包，并将在任何POST路由上验证令牌。但是，这怎么安全呢？恶意网站可以做完全相同的事情，点击我的登录，接收令牌，添加到标头，然后做任何事情。在SPA中，在我的API与发送我的客户端应用程序的服务器分离的SPA中，什么是防止CSRF的正确方法？

浏览 0提问于2019-09-23得票数 2

1回答

Django - CSRF令牌用于身份验证和未经身份验证的用户？

django、api、token、forms-authentication、csrf

我想知道Django的CSRF令牌是否是为自动生成的，包括身份验证用户和未经身份验证的用户？我很好奇，因为我想创建一个发布表单数据的API，以便任何用户-authenticated或未经身份验证的用户都能够对API端点进行post调用。但是，我想知道是否必须将CSRF令牌“附加”到每个用户的头上？(这意味着未经身份验证的用户也将拥有CSRF令牌)

浏览 1提问于2016-07-26得票数 0

2回答

是否需要在服务器端生成抗XSRF/CSRF令牌？

security、web、csrf、csrf-protection

几乎所有关于反CSRF机制的文档都指出，CSRF令牌应该在服务器端生成。不过，我想知道是否有必要。我想在这些步骤中实现反CSRF：没有服务器端生成的CSRF令牌；在浏览器端，在每个AJAX或表单提交中，我们的JavaScript生成一个随机字符串作为标记。在实际AJAX或表单提交发生之前，将此令牌写入cookie csrf；并将令牌作为_csrf添加到参数中。在服务器端，每个请求都应该有cookie csrf和提交的参数_csrf。对这两个值进行了比较。如果他们是不同的，这意味着这是一个CSRF攻击。服务器端不需要发出CSRF令牌，只需进行检查；令牌完全在浏览器端

浏览 2提问于2016-12-14得票数 4

2回答

csrf令牌的真正用途是什么？

csrf

当我们处理表单页面时，建议使用令牌来防止csrf攻击。我看到许多csrf令牌被设置为隐藏的HTML字段或在用户cookie/头文件中。我认为csrf可以防止自动攻击，但实际上，这些令牌并不能阻止黑客解析HTML/Cookies，提取crsf令牌，然后发出请求。那么，这种保护的目的是什么呢？

浏览 0提问于2020-04-27得票数 -1

2回答

CSRF对未经认证的请求、操作、搜索或评论的保护？

csrf

我已经看过CSRF资金从用户登录的银行转帐的例子。同样，我也看过CSRF的电子邮件更新。我想我理解它，但我不太确定它是否也扩展到未经认证的请求/表单提交。我现在正试图弄清楚中央应急基金的影响，特别是参照下文所述情况。假设一个购物网站，通过身份验证和未经身份验证的用户都可以浏览和购物。想象一下这样一个场景:一个未经身份验证的用户浏览器并将一个项添加到他的购物车中(仍然没有经过身份验证)。他后来决定退房，然后被重定向到结帐页面，而不登录(未经身份验证的用户或其他类似的用户的访问权限升级).The用户现在输入他的个人信息(通过SSL)，如电子邮件、地址、电话、信用卡信息等。他的购物已经完成，并关闭

浏览 0提问于2015-04-13得票数 6

2回答

令牌如何防止csrf攻击？

javascript、security、csrf、csrf-protection

我读过关于CSRF的文章，以及如何使用不可预测的同步器令牌模式来防止它。我不太明白它是怎么工作的。让我们来看看这个场景：用户将使用以下表单登录到网站： <form action="changePassword" method="POST"> <input type="text" name="password"><br> <input type="hidden" name="token" value='asdjkldssdk22332n

浏览 6提问于2015-07-09得票数 34

回答已采纳

1回答

Html.AntiForgeryToken如何用前面的GET来保护一个帖子

.net、asp.net-mvc、security、csrf

好吧，我希望我在这里遗漏了一点。长期以来，MVC有一个Html.AntiForgeryToken()助手将令牌插入到表单中，以保护提交的表单不受另一个网站的影响。(CSRF) 该助手将生成一个隐藏的输入，类似于： <input type="hidden" value="cXnXkzw2..." name="__RequestVerificationToken"> 它在服务器端已知，并用于验证POST。听起来不错。但是，如果一个人努力编写攻击脚本，攻击使用网站的身份验证cookie和恶意POST，那么首先执行前面的GET检索隐藏的输

浏览 3提问于2014-01-08得票数 0

回答已采纳

2回答

如果会话令牌被盗，攻击者会获得有效的CSRF令牌吗？

web-application、attack-prevention

CSRF同步令牌在一定程度上是有意义的。有人能用孩子气的方式向我解释一下吗？当用户登录时，会给他们一个会话ID和一个CSRF。会话ID存储在会话cookie中，CSRF令牌仅存储在页面上，最好是隐藏字段中。当用户提交需要特殊权限的请求时，CSRF令牌将与其一起发送。服务器验证它是用户，并提交操作。好吧，这就是我遇到问题的地方。如果用户的会话id与任何其他身份被窃取，比如来自中间人的攻击，这不需要XSS。恶意用户不是会被赋予与会话相同的CSRF令牌吗？为了预防，请忽略标题答案*

浏览 0提问于2016-10-18得票数 0

回答已采纳

1回答

没有剃须刀页面的ASP.NET核心API，使用单独的web应用程序进行前端和反伪造标记--这有意义吗？

c#、asp.net-core、.net-core、cors、antiforgerytoken

是否有必要通过使用防伪令牌来处理XSRF/CSRF的严格后端API，而最终将被迫使用一个为用户提供静态内容的特定web域来处理跨站点web请求？后端API使用cookie来帮助用户进行身份验证，因此需要考虑CSRF，但是通过使用CORS，后端API将只接受与特定域的通信。这里有什么问题吗？而且，如果防伪令牌是有意义的，那么当前端位于一个完全独立的域时，它们将如何使用呢？它可以移动到子域.。

浏览 4提问于2022-01-27得票数 -1

回答已采纳

2回答

我是否应该使用AntiForgeryToken的所有形式，甚至登录和注册？

web-application、appsec、csrf、asp.net、asp.net-mvc

我正在运行一个相当大的网站，每天访问数千次，并且拥有相当大的用户群。自从我开始迁移到MVC 3之后，我一直将AntiForgeryToken放在许多形式中，这些表单可以修改受保护的数据等等。其他一些形式，如登录和注册现在也使用AntiForgeryToken，但我开始怀疑他们的需要，首先，出于以下几个原因. 登录表单要求海报知道正确的凭据。我真的想不出CSRF攻击在这里会有什么好处，特别是如果我检查请求来自同一个主机(检查引用头)。每次加载页面时，AntiForgeryToken令牌都会生成不同的值。如果我有两个标签打开登录页面，然后尝试张贴，第一个将成功加载。第二个页面将在AntiFor

浏览 0提问于2011-02-11得票数 87

回答已采纳

3回答

登录表单是否需要令牌来抵御CSRF攻击？

php、token、csrf

到目前为止，据我所知，令牌的目的是防止攻击者伪造表单提交。例如，如果一个网站有一个表单，该表单向您的购物车中输入了添加的项目，而攻击者可能会向您的购物车发送垃圾邮件，其中包含您不想要的项目。这是有道理的，因为购物车表单可能有多个有效的输入，攻击者所要做的就是知道网站正在销售的商品。我理解令牌是如何工作的，并在这种情况下增加了安全性，因为它们确保用户已经为添加到购物车中的每个项目实际填写并按下了表单的“提交”按钮。但是，令牌是否会为需要用户名和密码的用户登录表单添加任何安全性？由于用户名和密码非常独特，攻击者必须知道这两者才能使登录伪造生效(即使您没有设置令牌)，如果攻击者已经知道这一

浏览 1提问于2011-06-20得票数 186

1回答

为什么在OAuth 2中使用状态变量

csrf、oauth2

我正在构建一个与第三方服务提供商集成的应用程序，并使用OAuth 2从使用该服务的其他用户获得访问其帐户信息的权限。根据这些文件，执行过程是：用户单击我的应用程序的前端元素，该元素调用我的后端。在后端将链接发送给用户以将其重定向到第三方应用程序的身份验证页面之前，我需要创建一个cookie来将随机生成的md5字符串存储为"state“，并将"state”变量包含在URL链接中。在用户使用链接登录到他的帐户并授予我的应用程序权限后，包含授权代码的响应将发送到我的后端。我的后端首先检查cookie中的"state“是否与响应中的"state”匹配。如果是这样

浏览 0提问于2020-11-27得票数 1

1回答

在重新验证时更新CSRF令牌(由客户端报告)

csrf

我在StackOverflow上问过的相关问题(未回答)： https://stackoverflow.com/questions/70703895/securely-renewing-a-session-without-javascript-and-without-breaking-csrf-protect https://stackoverflow.com/questions/70713661/is-it-a-security-concern-to-allow-a-client-to-generate-a-csrf-token-at-login-tim 作为参考，我正在使用一个遗留应用程序

浏览 0提问于2022-01-14得票数 1

4回答

CSRF保护的真正目的是什么？

django、security、csrf、django-csrf

我很久以前就听说过CSRF，大多数时候我听到的是：防止CSRF攻击很重要，这样就不会有人自动提交表单(使用机器人或其他方式)。嗯，这不是100%的事实，对吗？我已经做了大约3年的web抓取，提出请求、解析csrftokenmiddleware字段并将其与其他字段一起发布非常简单。那么，这到底是为了什么？

浏览 7提问于2012-04-20得票数 14

3回答

CSRF双提交Cookie基本上是“不安全”的

api、security、csrf

从：CSRF攻击起作用，因为浏览器请求自动包含所有cookie，包括会话cookie。为了防止这种情况，我们可以使用双提交cookie哈希。在我发现的一些示例代码中，基本上找到了这个算法。受害者访问应用程序：后端:生成与登录cookie相关的登录cookie和散列字符串前端:将散列字符串存储到第二个cookie中(例如: CSRF-token cookie) 前端(安全)：发送带有登录cookie和CSRF HTTP报头的请求，其中标头值是从CSRF令牌cookie中提取的。攻击者: 使用某种社交媒体工程让用户点击恶意链接，其中恶意链接使用会话cookie。

浏览 3提问于2021-01-22得票数 6

1回答

可以在Django中禁用CSRF作为松弛斜杠命令api mad吗？

django、csrf、slack、slack-commands

它是否禁用CSRF功能，这是slash命令服务器的最佳实践吗？我想通过一个 (例如，/test )在Django中调用一个API视图函数。当我使用任何浏览器(所以是GET请求)调用视图函数的URL时，它的工作原理是预期的。但是，当我在Slack中运行/test时，403_client_error在slack中，Forbidden (CSRF cookie not set)在Django shell中。我相信这是因为Slack发送一个POST请求，Django需要CSRF令牌来处理任何POST请求。我的问题是我是否应该禁用这个视图的CSRF检查。会有很大的风险吗？或者有什么解决办法？

浏览 0提问于2018-07-31得票数 0

回答已采纳

4回答