Yii2 REST API中的CSRF令牌和cookie存储的令牌
在Yii2 REST API中,CSRF令牌和cookie存储的令牌都是用于防止跨站请求伪造(Cross-Site Request Forgery,CSRF)攻击的安全机制。
CSRF攻击是一种利用用户在已经登录的网站上执行非法操作的攻击方式。攻击者通过诱使用户点击恶意链接或访问恶意网站,利用用户在其他网站上的登录状态,发送伪造的请求,以达到攻击目的。
为了防止CSRF攻击,Yii2 REST API引入了CSRF令牌和cookie存储的令牌两种机制。
- CSRF令牌: CSRF令牌是一种随机生成的字符串,用于验证请求的合法性。在Yii2 REST API中,CSRF令牌通过在每个表单或请求中添加一个隐藏字段来实现。当用户提交请求时,服务器会验证请求中的CSRF令牌是否与服务器端生成的令牌一致,如果不一致则拒绝请求。
CSRF令牌的优势:
- 提供了一种简单有效的方式来防止CSRF攻击。
- 由于令牌是随机生成的,攻击者无法猜测或伪造有效的令牌。
CSRF令牌的应用场景:
- 在表单提交中使用CSRF令牌,以确保只有经过授权的用户才能提交表单。
- 在AJAX请求中使用CSRF令牌,以确保只有经过授权的用户才能执行特定的操作。
推荐的腾讯云相关产品: 腾讯云提供了一系列安全产品和服务,可以帮助保护应用程序免受CSRF攻击,例如:
- 腾讯云Web应用防火墙(WAF):可以检测和阻止CSRF攻击。
- 腾讯云安全组:可以配置网络访问控制策略,限制访问来源。
产品介绍链接地址:
- 腾讯云Web应用防火墙(WAF):https://cloud.tencent.com/product/waf
- 腾讯云安全组:https://cloud.tencent.com/product/cfw
相关·内容
2回答
csrf令牌的真正用途是什么?
csrf
当我们处理表单页面时,建议使用令牌来防止csrf攻击。我看到许多csrf令牌被设置为隐藏的HTML字段或在用户cookie/头文件中。我认为csrf可以防止自动攻击,但实际上,这些令牌并不能阻止黑客解析HTML/Cookies,提取crsf令牌,然后发出请求。
那么,这种保护的目的是什么呢?
浏览 0提问于2020-04-27得票数 -1
2回答
CSRF澄清和解密
web-application、javascript、csrf
我理解跨站点请求伪造是如何发生的,但是我非常不清楚如何使用SPA(React)应用程序来保护它。
例如,我的当前策略是,在登录时,将csrf令牌作为cookie发送到客户端,在客户机上,获取该cookie并将其包含在req.body或自定义标头中。
我的快速后端正在使用CSURF包,并将在任何POST路由上验证令牌。
但是,这怎么安全呢?恶意网站可以做完全相同的事情,点击我的登录,接收令牌,添加到标头,然后做任何事情。
在SPA中,在我的API与发送我的客户端应用程序的服务器分离的SPA中,什么是防止CSRF的正确方法?
浏览 0提问于2019-09-23得票数 2
1回答
Django - CSRF令牌用于身份验证和未经身份验证的用户?
django、api、token、forms-authentication、csrf
我想知道Django的CSRF令牌是否是为自动生成的,包括身份验证用户和未经身份验证的用户?我很好奇,因为我想创建一个发布表单数据的API,以便任何用户-authenticated或未经身份验证的用户都能够对API端点进行post调用。但是,我想知道是否必须将CSRF令牌“附加”到每个用户的头上?(这意味着未经身份验证的用户也将拥有CSRF令牌)
浏览 1提问于2016-07-26得票数 0
2回答
如何防止使用Windows身份验证时CSRF对REST的攻击
authentication、web-application、csrf、rest、spnego
我有一个与REST交互的角形web应用程序。请求通过JWT Bearer令牌进行身份验证。现在我想添加对Windows-身份验证的支持。
我目前的计划是在REST中添加一个后端点/token,它接受并返回一个JWT。然后在JavaScript中使用此JWT作为Bearer令牌来验证XHR到REST-API的身份。
乍一看,这应该会阻止CSRF,因为它需要两个POST请求来修改应用程序的状态。我发现的CSRF <form>-based示例只提交了一个POST请求,攻击者看不到响应。
我遗漏了什么吗?
这场景类似,只不过它使用的是cookie而不是Windows-身份验证。
浏览 0提问于2020-06-08得票数 0
回答已采纳
2回答
Django CSRF cookie可通过javascript访问?
django、django-csrf
在django网站上,声明:
The CSRF protection is based on the following things:
1. A CSRF cookie that is set to a random value (a session independent nonce, as it is called), which other sites will not have access to.
2. ...
然后,它还声明可以通过javascript从cookie获得csrf令牌:
var csrftoken = $.cookie('csrftoken');
浏览 6提问于2013-07-30得票数 5
回答已采纳
2回答
是否需要在服务器端生成抗XSRF/CSRF令牌?
security、web、csrf、csrf-protection
几乎所有关于反CSRF机制的文档都指出,CSRF令牌应该在服务器端生成。不过,我想知道是否有必要。
我想在这些步骤中实现反CSRF:
没有服务器端生成的CSRF令牌;
在浏览器端,在每个AJAX或表单提交中,我们的JavaScript生成一个随机字符串作为标记。在实际AJAX或表单提交发生之前,将此令牌写入cookie csrf;并将令牌作为_csrf添加到参数中。
在服务器端,每个请求都应该有cookie csrf和提交的参数_csrf。对这两个值进行了比较。如果他们是不同的,这意味着这是一个CSRF攻击。
服务器端不需要发出CSRF令牌,只需进行检查;令牌完全在浏览器端
浏览 2提问于2016-12-14得票数 4
1回答
web2py中的CSRF保护
csrf、web2py
我从web2py文档()中读到
web2py通过向每个表单分配一个一次性随机令牌来防止CSRF以及意外地双重提交表单。此外,web2py使用UUID作为会话cookie。
如果web2py生成的页面上的表单是随机标记的,那么是否有人愿意向我解释上述方法是如何阻止CSRF的?另外,cookie中的UUID不会阻止CSRF,因为cookie是与恶意请求一起自动发送的,对吗?
据推测,恶意站点可以通过外部形式执行在上描述的攻击:
..。易受攻击的请求如下所示:
POST HTTP/1.1 acct=BOB&amount=100
这样的请求不能使用标准的A或IMG标记传递,但可以使
浏览 3提问于2016-11-12得票数 1
回答已采纳
1回答
可以在Django中禁用CSRF作为松弛斜杠命令api mad吗?
django、csrf、slack、slack-commands
它是否禁用CSRF功能,这是slash命令服务器的最佳实践吗?
我想通过一个 (例如,/test )在Django中调用一个API视图函数。
当我使用任何浏览器(所以是GET请求)调用视图函数的URL时,它的工作原理是预期的。
但是,当我在Slack中运行/test时,403_client_error在slack中,Forbidden (CSRF cookie not set)在Django shell中。
我相信这是因为Slack发送一个POST请求,Django需要CSRF令牌来处理任何POST请求。
我的问题是我是否应该禁用这个视图的CSRF检查。会有很大的风险吗?或者有什么解决办法?
浏览 0提问于2018-07-31得票数 0
回答已采纳
3回答
CSRF双提交Cookie基本上是“不安全”的
api、security、csrf
从:CSRF攻击起作用,因为浏览器请求自动包含所有cookie,包括会话cookie。
为了防止这种情况,我们可以使用双提交cookie哈希。
在我发现的一些示例代码中,基本上找到了这个算法。
受害者访问应用程序:
后端:生成与登录cookie相关的登录cookie和散列字符串
前端:将散列字符串存储到第二个cookie中(例如: CSRF-token cookie)
前端(安全):发送带有登录cookie和CSRF HTTP报头的请求,其中标头值是从CSRF令牌cookie中提取的。
攻击者:
使用某种社交媒体工程让用户点击恶意链接,其中恶意链接使用会话cookie。
浏览 3提问于2021-01-22得票数 6
1回答
没有剃须刀页面的ASP.NET核心API,使用单独的web应用程序进行前端和反伪造标记--这有意义吗?
c#、asp.net-core、.net-core、cors、antiforgerytoken
是否有必要通过使用防伪令牌来处理XSRF/CSRF的严格后端API,而最终将被迫使用一个为用户提供静态内容的特定web域来处理跨站点web请求?
后端API使用cookie来帮助用户进行身份验证,因此需要考虑CSRF,但是通过使用CORS,后端API将只接受与特定域的通信。
这里有什么问题吗?而且,如果防伪令牌是有意义的,那么当前端位于一个完全独立的域时,它们将如何使用呢?它可以移动到子域.。
浏览 4提问于2022-01-27得票数 -1
回答已采纳
1回答
什么是保护REST接口不被会话窃取的正确方法?
http、rest
让我们假设攻击者能够将JavaScript注入网站。显然,他可以执行任何HTTP请求,以模拟用户操作,除非有一些确认,如SMS代码需要用户直接交互(即使在这种情况下,恶意JavaScript也可能欺骗用户)。所以,我想,这个攻击媒介是无法合理防御的。但是,如果攻击者窃取会话,他可以冒充用户并几乎做任何事情。所以我在考虑如何保护这个向量。当然,服务器可以检查IP地址等,但这并不总是可能的。
第一件事:将会话存储在只使用HTTP的cookie中。JavaScript不能偷它。到目前一切尚好。但是还有另一个缺点:第三方网站可以从我的服务器制作带有动作的表单标签,并使用用户cookie提交此表单。我们
浏览 0提问于2017-09-27得票数 1
2回答
CSRF预防理解
attack-prevention、csrf
我在寻找关于CSRF攻击的信息,我在考虑“随机形式的令牌”预防概念。
假设每个表单内部都有一个“隐藏令牌”,而服务器在进行任何其他操作之前都会检查令牌。现在,假设有一个表单http://myWebsite.e.x/acccount/edit,它应该提交。
攻击者可以创建此表单的iFrame到他的网站(生成的令牌),隐藏它,然后使用JavaScript (和受害者的cookie)提交它。
我在这里错过了什么?
浏览 0提问于2014-02-21得票数 0
回答已采纳
4回答
有没有免费好用的网站防护软件推荐?
网站、网站建设、建站、网站安全
建站萌新 网站一直被打 求安利,搜到了某塔WAF 和某社区版WAF 和某墙WAF 有么有懂行的师傅,和腾讯云的对比咋样
浏览 127提问于2023-12-28
2回答
当使用双提交cookie作为对csrf的保护时,在哪里创建随机密钥重要吗?
http、javascript、csrf
我有一个无国籍的后端和一个水疗中心。除了登录请求之外,所有请求都由标题中的jwt保护。
此外,应用程序现在应该针对csrf进行保护。因为后端是无状态的,所以我们希望实现双提交令牌。为了避免必须自定义前端中的每个表单,我们希望将令牌作为一个标头而不是一个隐藏字段提交。我们想知道,如果令牌是在后端生成的,还是在前端生成,是否会产生影响。
现在,我们已经配置了axios,以便在浏览器中初始化应用程序时创建一个新的UUID。此UUID将被设置为cookies值以及自定义标头。
请注意,我们知道我们所有的客户在某种程度上都是“现代的”,所以像IE10这样的遗留浏览器的问题与我们无关。
我们知道,这个机制
浏览 0提问于2023-04-17得票数 2
3回答
为什么codeigniter2不以更安全的方式存储csrf_hash,比如session?
php、security、codeigniter、csrf、codeigniter-2
为什么生成的CSRF保护令牌不像建议的那样通过会话保存和使用?目前在CI2中,CSRF保护机制(在安全类中)是这样的:
1.在_csrf_set_hash()函数中为CSRF标记生成唯一值:
$this->csrf_hash = md5(uniqid(rand(), TRUE));
2.将该标记插入表单隐藏字段(使用form_open助手)
3.用户提交表单,服务器通过POST获取令牌。CI在输入类的"_sanitize_globals()“函数中执行令牌验证:
$this->security->csrf_verify();
4.安全类的"csrf_verif
浏览 0提问于2012-01-09得票数 4
回答已采纳
1回答
流行网站基于Cookie的认证安全
authentication、web-application、cookies
让我们以谷歌和其他流行的银行网站为例,它们使用cookie。
我一直在与一个使用角的网站工作,该网站使用Laravel作为API。数据存储在cookies中,cookies在客户端(包括JWT )中易受攻击。
对于使用基于cookie的身份验证的网站,除了设置cookie的安全标志和选项之外,它们做了哪些安全实现和实践来保护和保护数据不受任何攻击?
下面是一些特定的cookie攻击:
CSRF饼干中毒
XSS
会话固定
偷听、劫持饼干/偷窃
来自相关主机名的Cookie注入
曲奇驱逐
直接曲奇注入
TCP/IP劫持
流行网站和银行网站如何处理这些攻击以保护存储在cookie中的数据?
浏览 0提问于2019-08-07得票数 0
1回答
不相信JWT令牌+ CSRF令牌的安全性
authentication、xss、csrf、jwt、token
假设我有一个web应用程序,在其身份验证方案中使用了JWT令牌和CSRF令牌。据我所知,它是这样运作的:
当用户登录时,客户端发送一个登录request.。
服务器将签名的JWT令牌设置为一个cookie,其响应头中有Set-Cookie ... ;Secure ;httpOnly。这可以防止XSS攻击,因为Javascript.无法访问cookie。
服务器还发送没有httpOnly设置的CSRF令牌,以便JavaScript code.可以读取它。
当客户机提出任何未来的请求时,JWT cookie将自动发送,CSRF必须在请求头中设置。这应该可以防止CSRF攻击,因为CSRF cook
浏览 0提问于2018-11-29得票数 1
4回答
CSRF保护的真正目的是什么?
django、security、csrf、django-csrf
我很久以前就听说过CSRF,大多数时候我听到的是:
防止CSRF攻击很重要,这样就不会有人自动提交表单(使用机器人或其他方式)。
嗯,这不是100%的事实,对吗?
我已经做了大约3年的web抓取,提出请求、解析csrftokenmiddleware字段并将其与其他字段一起发布非常简单。
那么,这到底是为了什么?
浏览 7提问于2012-04-20得票数 14
3回答
隐藏表单域中的md5标记
php、forms、security
我在不止一个网站上读到过这种保护表单的方法:
我添加了一个隐藏字段:
<input type="hidden" name="token" value="<?php echo $token; ?>" />
令牌由以下方式生成:
$token = md5(uniqid(rand(), TRUE));
$_SESSION['token'] = $token;
我确实理解,由于它的随机性,这段代码实际上是牢不可破的。
我不明白的是:为什么他们在一个可以在html源代码中查看的隐藏表单域中包含令牌?
然后,用户可以保
浏览 2提问于2012-03-25得票数 1
回答已采纳
3回答
在基于OAuth2的身份验证中,状态参数可以防止什么样的CSRF攻击?
security、authentication、google-oauth、csrf、openid-connect
我正在研究Google的身份验证部分。
我使用的是“服务器”流,而不是“隐式”。
在实现步骤1以获取code准则时,建议使用state参数来确保最终服务提供者将收到与他发起的auth请求相关的响应。
请参阅
据我所知,code有可能被偷,redirect_uri猜到了。
但我不明白为什么这叫做反CSRF保护?
根据 CSRF攻击,“利用站点在用户浏览器中的信任”。
据我所知,应该在浏览器中保留一些敏感的内容,以使CSRF攻击成为可能。最经典的例子-认证曲奇。
但是,在浏览器中,与OpenID有关的是什么--连接代码流?
这仅仅是两个后续的重定向从服务提供者到身份提供者和返回。
代码本身在回调时
浏览 3提问于2019-11-12得票数 10
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
活动推荐
腾讯云开发者
