CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSRF 的安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性,然后就目前常用的几种防御方法进行分析,比较其...
分类:
其他好文 时间:
2014-12-30 13:42:45
阅读次数:
212
从互联网诞生起,安全威胁就一直伴随着网站的发展,各种Web攻击和信息泄露也从未停止。常见的攻击手段有XSS攻击、SQL注入、CSRF、Session劫持等。1、XSS攻击XSS攻击即跨站点脚本攻击(Cross Site Script),指黑客通过篡改网页,注入恶意HTML脚本,在用户访问网页时,控制...
分类:
Web程序 时间:
2014-12-19 18:53:15
阅读次数:
130
CSRF攻击的全称是跨站请求伪造(cross site request forgery),是一种对网站的恶意利用,尽管听起来跟XSS跨站脚本攻击有点相似,但事实上CSRF与XSS差别很大,XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。你可以这么理解CS...
分类:
Web程序 时间:
2014-12-18 01:28:48
阅读次数:
1198
在这里把我遇到的ajax问题和大家的回答整理总结一下, 刚学CI,? 可能有错误 ,希望指正。 如果你有以下问题,可能会得到帮助: 1. 跨域访问错误 2. csrf保护开启后ajax出现错误 3. gZip开启后出现ajax错误 测试环境...
分类:
Web程序 时间:
2014-12-15 12:18:29
阅读次数:
213
1.Projectsetting.py开启CSRF2.Template中html的form表单,仅post方法a)加入{%
csrf_token%}3.View函数中,使用RequestContext代替Context同一project下所有代码需同时改正,否则会导致post方法提交表单不可用并报错。
分类:
其他好文 时间:
2014-12-15 10:37:02
阅读次数:
143
模板页面添加ifreme"target="uploadResponse_attachment"method="post"enctype="multipart/form-data"> security->get_csrf_token_name();?>"value="security->get_csr...
分类:
Web程序 时间:
2014-12-11 12:11:48
阅读次数:
154
前端安全的话题再次被提及,深航东航系统被攻破,乘客信息泄露并被利用,这类例子比比皆是。在前端江湖中,攻击与防守更像是一场漫无硝烟的战争,悄无声息却无时无刻都在进行。 前端常见漏洞包括XSS、CSRF及界面操作劫持,服务端如SQL注入等。 前端使用的传输协议是http,不经过加密直接传输的。HTML....
分类:
其他好文 时间:
2014-12-06 18:11:36
阅读次数:
159
用途:防止CSRF(跨网站请求伪造)。用法:在View->Form表单中:在Controller->Action动作上:[ValidateAntiForgeryToken]原理:1、这个方法会生成一个隐藏域:并且会将一个以"__RequestVerificationToken“为KEY的COOKIE...
分类:
Web程序 时间:
2014-11-27 23:30:31
阅读次数:
277
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你.....
分类:
Web程序 时间:
2014-11-27 23:19:11
阅读次数:
183
有关Html.AntiForgeryToken()的使用其实网上的说明很多了,比如http://blog.csdn.net/cpytiger/article/details/8781457
那么我们写的AJAX调用怎么办了,难道需要修改所有的ajax请求数据吗?我个人比较懒惰喜欢写一个通用的代码.其实原理很简单就是拦截ajax请求,然后追加自己的数据.注意在ajax传输数据的时候可以...
分类:
Web程序 时间:
2014-11-21 16:18:24
阅读次数:
153
