跨站请求伪造ese怎么解决

哈喽，大家好，我是八个开发工程师，专注于后段领域的八个开发八年老司机，今天分享的知识点是计算机网络里面的安全问题，视频比较长，咱们耐心看。 ok， 我们来看一下常见的网络安全问题，首先第一个是 dns 解释，第二个是 csif 攻击， 第三个是刀子攻击，第四个是叉 ss 攻击，我们每一个主义的来想去分析一下。先来看一下 dns 结石， dns 结石的话它是一种玉米结石 啊，我们来看一下支付图，我们用户在访问这个目标网站的时候，其实是通过在浏览信里面输入这个目标网站的域名去访问的，但每一个网站就是每个网站他是通过 ip 记者加端口去进行一个唯一标识的， 所以我们呃真正的在流量器里面做了一做了一步就是把我们的一个玉米解气成 fd 的加端口，是流量器向 dns 服务器发起一个玉米解气的一个请求，然后攻击者的话，他就是把这个 玉米节气的请求给南杰了，给你返回了一个错误的 iv 记者加端口，然后用户就拿到了一个错误的 iv 记者加端口，然后去访问了这个错误的这个网站，这个的话就是一个玉米结石一个过程， 那我们怎么怎么样去呃应对 dnas 结石呢？呃，有主要是两个方向吧。第一个的话就是如果你知道了这个目标网站 iv 记者加端口的话，那我们直接是通过 fd 加端口去进行访问，就不需要通过这个 dns 让他去进行一个玉米解析的这一步了，直接去避开 dns 解释。然后第二种的话就是可以去举报运营商，就是让这个一般是中间的一些非法运营商，就是把我们的这个请求给拦截了，让他去啊解除这个 dns 解释， ok， 这个是 dns 结石的一个呃定义，以及怎么样去预防。我们再来看一下 csif 的一个攻击， csif 攻击的话，他是一个夸张请求伪造，夸张请求伪造他就是通过行驶用户在当前一登录的微博程序上去执行非本 一些操作的攻击方法。我们来看一下这幅图来理解一下吧。首先用户第一步的话，他去登录了一个网上银行的网站，然后这个登录他的话就是宝石，他没有去退出这个网站，所以我们浏览器里面会一般登录他是缓存在浏览器里面的库存里面吗？然后你没有退出的话，那这个登录他还在，还在那个浏览器里面， 然后这个攻击者的话，他在这个论坛里面，他发了一篇帖子，然后这个帖子做了一个转账的伪造请求。 然后我们用户去这个论坛这这边没有退出啊，没有退出，然后再去访问这个论坛，然后并且查看这片帖子，然后这边帖子就会发起一个伪造请求给这个网站去进行一个转账。 因为因为我们的一个用户的那个信息已经在库给里面了，他在发起这个请求的时候，把这个信息给把这个登录他给带过去了，所以这个网站去进行照验的时候，发现是这个用户的一个呃请求，然后就会去进行一个转账请求，这样子的话可能就会导致一些， 那怎么样去应对这种 csi 服攻击呢？这是早期的那种做的不是很好的网站，现在一般的网站都是对 csi 服都有预防，主要是从三个方向吧。首先第一个方向就是检查一下 ref 自动， 这个瑞福自动是什么？就是我们 shtv 请求头里面他会有一个自动用来记录，就是这个 stv 请求的一个来源地址。在通常情况下的话就是访问一个安全受限的一个页面的请求，就来自于同一个网站，就正常的我们的一个服务站这边，这个网站这边收到的请求就是肯定是这个网站站内的一个请求， 就比如说他的你这个论坛里面，他的一个 ref 发起了一个请求，给他的一个请求，那这个 ref 肯定就是是这个论坛的一个那个 url 地址，那如果我们教练，教练这收到这个请求之后去教练这个 ref， 发现这个 ref 不是本账的一个地址，发现是另外一个就是这个论坛的一个地址，那直接把这个请求给拒绝了。这是第一种方法，就 检查一个 ref 阶段。然后第二种方法的话就是去教练偷啃，就是我们在发起 sb 请求，就是以参数的形式加入一个，随机产生一个偷啃，然后并且在服务服务器到这边去难解去获得这个偷啃，如果发现请求中没有这个偷啃的话，就或者偷啃不正确的话，我们就认为这一次请求是一个非法请求， 就是你这边去呃，发起这个请求的时候需要携带一个脱贫，然后这个脱贫的话是这个网站生成的，然后他会去教练这个请求里面是不是带有这个脱贫，如果没有带有的话，那就是非法，或者说这个脱贫是不正确的，那一位认为他是一个非法的请求，把他拒绝掉。 第三种的话就是对这种敏感操作的话，可以进行一些多重的降验，比如说去降验一下用户的认证信息，通过那个邮邮箱确认以及验证码去进行一个确认。像现在我们正常的一个转账的话，都是需要通过验证码去降验的，这个是那个 csif 攻击的一个定义，和他的一个怎么样去预防 好，我们再来看一下刀子攻击，刀子攻击的话其实呃简单来说的话就是伪造很多那种，也不是说伪造吧，就是通过大量的请求来访问你这个网站，然后把你这个网站给打垮，或者就是让你处于高压的状态，然后不能去想一些正常请求， 这三个的话我就不想去去分析了，其实意思就是说通过大量的请求去让你这个网站的资源给消耗殆尽一些，包括一些宽带资源一些以及一些那种处理资源，然后让你这个网站不能处，去想一些正常请求， 然后对于到此攻击的一个预防的话啊。当然第一种，第一种方法的话是比较笨的，就是通过增加宽带一些资源，比如说你的服务器资源、网卡资源等等一些资源来去啊，看不出这些非法的请求， 但是如果别人的那个呃请求特别多的话，你靠不住，还有就这种方法的话是特别浪费资源的。然后第二种的话就是其实我们先 在呃对于这种刀子攻击，他有那种专业的那种防火墙，这种一般可能需要花费一些那种需要掏些钱，然后去去买他们的一些服务，现在的话这种也是比较主流的一种预防的方式。 然后再来看一下叉 ss 攻击，叉 ss 攻击的话他就是一个跨战脚本攻击，就是攻击者的话，他会在嗯我们的微博页面里面去插入一些那种恶意的 sm 要代码，然后我们用户再去浏览这个网页的时候， 我们的浏览器就会去执行，去解析执行这些恶意的 sm 要代码，然后就达到了一个恶意攻击的一些目的。 xss 攻击的话，它主要分为三种类型，存储型、反射型，还有这个当当我们型的 xssxss 攻击，他是怎么样去呃去做的？我们来看一下这具体的一个流程。首先的话是攻击者构造构造出一个特殊的 ui l， 然后这个 uil 里面的话是包含了一些恶意的一些代码，然后我们用户去打开这些 代码的时候，去访问一个正常的呃网站服务器，然后网站服务器就将恶意的代码从药外药外药里面取出来，然后并且拼接在一些美好中返回给浏览器，然后用户这边浏览器去收到这个响应之后去解析执行，因为里面有那些恶意的代码，然后也所以恶意代码也被浏览器给解解解解析执行了， 然后他就会去进行一些恶意，就是请求恶意的服务器，然后发生用户数据，这攻击者的话可以窃取用户的一些数据，就是用来冒冒充用户的一些行为，就是达到这样子的一个攻击的目的。 这里有一幅图，就首先的话是攻击者发送带有叉 ass 攻击的一个脚本链接，然后用户这边去点击这个恶意的链接，并且访问一个正常服务器，然后正常服务器的话，他像把他当这个正常页面去进行打开，然后 然后用户这边浏览器的话去会去解析执行，然后执行这个页面的时候就会去执行这个恶意的代码，然后去请求这些恶意的服务器，然后去窃窃取用户的一个数据，这是叉 ics 攻击的一个主要 流程。那我们怎么样去预防 xss 攻击呢？首先的话就是因为这些输入的呃用户输入的一些东西我们其实是不能完全相信的，所以就是需要对他去进行一些那种呃恶意的代码的一些过滤，过滤效过滤掉一些标签，然后只允许一些合法的纸，然后让流量器去执行。 当然还有一种就是天 hm 要转移，就是把你的这段那个用户输入的一些东西进行个转移，转移之后的话浏览器这边就不会去直接去执行那些恶意的一些代码，然后对于一些其他的一些跳转链接啊，我们需要去教练一下那个内容，就是以 stripped 的开头的这种非法的链接都需要去进行一个教练。然后还有就是我们可以限制那个用户输入的一个长度 以上的话，就是呃这四种攻击的一个解释，然后今天的分享就这些， ok， 以上就是今天分享知识点，然后通过这段时间的分享，计算机网络相关的知识点基本上已经覆盖到了，没有看过的同学 可以去翻看一下之前的视频。然后我们下一阶段就是准备去分享一门语言，然后以最近服务端开发比较火的购物语言来进行分享，然后当然后面也会去分享一些加法相关的知识点，感兴趣的可以点点关注，谢谢。

什么是 csf？ csf 也被称为夸赞请求伪造，这个漏洞可以利用浏览器来代替用户去发起一些恶意请求。简单演示一下，学习的进粉丝群哦。我们打开一个网站，使用我们提前注册好的里次账户作为实验，他现在的信息是一二三一二三，大家请注意看。现在只要我们访问一个恶意清练，就会出现 被篡改的提示说明，此时李斯的信息已经被篡改成功。我们刷新一下页面，原本账户里的一二三此时就已经变成海口之押了。看到这里，你明白了吗？

在最后一下就是面对大量的请求的时候，或者伪造的请求的时候，你如何去识别出来，去阻止这部分请求？常见的一些安全组件或者一些编码方面的一些呃功能或者实现都可以。简单的说一下这方面如何去阻止。 呃，这方面，这方面，我们，我们，哦，这样我们平台有一个就是接口限流的功能，就是 请求的时候做了那个限流策略，就是如果短时间内收到了那个通 ip， 然后那个同意请求， 然后就是做了一个做一个策略，就是达到这个法师之后，然后就拒绝那个提供响应，直接直接将这个请求就丢弃掉了，直到那个满就是他的那个词，就是是访问请求数量下降之后，然后才会那个放行。如果就是确认他这个确实属于那个 那个攻击的话，直接将该 ip 呃直接列为黑名单，就是直接拒绝的。下次的方案进球了啊，老师，应该是这样子的。嗯，行，好的，哎，我这边没门哎。

我们是平常啊，去网上挖掘漏洞的时候呢，就是通过一些搜索语法来去搜索的。嗯，我给大家介绍两个搜索语法， in title， in u l， 第一个呢是 in title 这边输入这个 intitle， 比如说搜索一个后台管理，我们可以看到后面搜索出来的东西都是一些登录的页面，这就是 intitle 这个搜索语法。 第二个呢我们要讲这个 nuil， 这个是搜索关于在 uil 里面的东西，我们搜索一个 asp， 然后问号 id 等于一，这个是搜索注入点的，我们这边打开一个链接可以看得到这个 uil 里面就带了这个问号 id 等于一。之前课程的时候呢， 讲收口输入就是问好 id 等于一，或者说在后面来确定他的字，这个就是一个搜索语法，学废了吗？不懂就问吧。

跨战请求伪造 csrf 是一种常见的网站安全威胁。攻击者通过伪造合法用户的请求，使用户在不知情的情况下执行恶意操作。以下是一些防范跨战请求伪造的措施。 一、 c、 s、 r、 f 令牌在每个表单和敏感操作的请求中添加一个随机生成的 c、 s、 r、 f 令牌。服务器在处理请求时会验证该令牌，确保请求来自合法来源。二、 same side 属性将 cookie 的 same side 属性设置为 streak 或 legs， 限制 cookie 只在同一站点请求中发送，从而减少 c、 s、 r、 f 攻击的风险。三、双重确认。对于敏感操作，可以要求用户进行双重确认，例如输入 密码、验证码或其他验证方式。四、验证 refer 头。服务器可以检查请求的 refer 头字段，验证请求来源是否与预期一致。但这并不是完全可靠的方法，因为 refer 头可能被篡改或禁用。 五、请求时效性。限制请求的有效时间。确保请求在一定时间范围内有效，过期的请求将被拒绝。六、定期审查。定期审查网站的安全策略和代码，确保没有潜在的漏洞可以被利用。 七、使用 post 请求。对于敏感操作，尽量使用 post 请求，因为 get 请求可能会被缓存或被其他方式泄露。八、防火墙和 waf 使用 用网络防火墙和外部应用程序防火墙 waf 来过滤恶意请求和攻击流量。通过综合采取这些防范措施，网站管理员可以有效地降低跨战请求伪造攻击的风险，保护用户数据和网站的安全。

老柴这里就简单讲一下 c s r f 也就是跨战请求伪造的攻击逻辑。事实上， c s r f 攻击相对于其他渗透技术虽然不太流行，但也正因如此，对其进行防范的资源也相对较少， 相比较 xss 也就是跨战脚本攻击来说，理论上也更加难以防范以及更具危险性。并且 csrf 攻击对于服务器来说，这个请求是完全合法的，即在服务器看来，这完全就是你发出的请求，但是却完成了攻击者所期望的一系列的操作，就问你怕还是不怕 那其实他的攻击逻辑非常简单， g csf 就是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认可过的网站，并执行一系列的操作，就比如说发邮件、发消息，甚至是转账或者购买等等的行为。而我们都知道，如果我们通过浏览区去访问一个正常业务类的 网站，那此时浏览器则会保存我们在该网站的 cooking 等信息。但是在维持正常业务类网站的登录时，如果我们通过陌生不明身份的链接又访问了攻击者构造的网站，此时攻击者便可以利用构造的网站获取到我们正在正常访问业务类网站的 cooking 等信息，从而伪造用户对正常业务类网站实施恶意的 攻击。也就是说，攻击者只是利用了我们的登录状态或者授权状态，并不需要复杂的窃取到我们的信息就可以实施实际的攻击行为。并且由于浏览器曾经认证过，所以被访问的网站就会认为是真正的用户操作而去执行，简单并且可怕吧。

访问一个链接钱就没了，这是什么原理？ csis 黑客常用的技术手段，他可以利用浏览器代替用户去发起一些恶意请求。当用户访问某个链接，会被黑客利用这次访问构建一个恶意请求，比如篡改个人资料，这里本来信息全是一二三，访问链接之后全变成了翻。

你知道什么是 csif 吗？ csif 也被称为霸占请求伪造。这个漏洞可以利用浏览器代替用户去发起些恶意请求。接下来简单演示一下这个漏洞利用过程。首先我们打开一个网站，这里已经 先注册好的一个用户，名叫李四的账户，他的信息现在是一二三一二三之类的信息。现在访问一个恶意短恋，可以看到弹窗提示已被篡改， 说明李四的信息已经被篡改成功了。我们刷新一下页面看一下，原本一二三一二三之类的信息被改成了 tic。 关注我，下次教你更多。

打开靶场，今天演示的是 c s r f 攻击， 现在模拟的是被攻击者大冤种登录进来了，此时他正在修改个人信息，假如这个时候攻击者使用而欺骗拦截到请求，数据网黑客拿到提交的参数， 然后构建了这么一个文件，使用硬标签发送一个简单的个请求， 他随意修改参数信息。假如他有一个公网能访问的服务器， 我先还原一下你修改完页面的样子，接着他又找你打开这个链接， 看一下网络请求已经以 ps 发过去了，狗狗祟祟的，把你个人信息改了，再看一下，已超级提交。 紧接着又让那小子拦截到了。复制 post 比较的参数放到页面里，一会要用，再复制请求地址，这俩都要用。写一个简单的表单， 设置好提交的路径在于抄取提交。写好收集的参数， 有几个参数就写几个 input， 写好对应的 key value， 这对应的 value 你想改成啥都行， 写一个按，我自己 一打开页面就提交 pos 机 再复原一下，魔怔了。你只要打开攻击者给你发的链接，你的个人信息就被攻击者修改了。

哈喽，大家好，欢迎来到登陆与小课堂。你知道常见的网络攻防手段有哪些吗？一、跨战脚本攻击。指攻方在网页中迁入恶意脚本程序实施攻击。而防御方式是将录入数据进行转移处理， 即将原有制服转变为安全制服。二、跨战全球伪造，只伪装成信任用户进行突防。笑里藏刀最为致命。 对于这种攻击，我们可以采用不储存与浏览器的认证方式，为个人隐私加码。总的来说，攻防手段的成败与否，是与用户攻守方的共同努力的结果。网络安全的维护需要大家共同的努力。欢迎把你知道时评论加转发，恭喜你又学到了新知识！

csrf 攻击全称是跨战请求伪造，它可以利用用户以登录的身份，在用户毫不知情的情况下，以用户的名义完成非法操作。 我保证绝大多数九零零零后都遇到过 csif 攻击。我记得上学的时候， qq 空间经常看到这样的说说。大家好，我是易烊千玺，这是我的 qq 号，一二三四五六七八九， 欢迎各位小伙伴加我 qq。 上大学后， qq 邮箱又会收到这样以学校名义发送的邮件，大学期末考试成绩单或者大学下学期课程安排等，这些 邮件中还很默契的都放一个链接，即使是现在还有你 qq 列表中那些被盗号的朋友，是不是总会发些链接给你，点开以后手机就卡死了。 近几年新闻报道的链接诈骗数不胜数，家里的爷爷奶奶，爸爸妈妈甚至七大姑八大姨微信群里发， 点开链接并转发十个群即可领取一百元现金红包等等。以上只是 csrf 攻击的冰山一角。

同学们，我们再来看另外一道面试题，就是跨域请求是什么，他会存在什么问题，而而且对应的我们该如何去解决他 好？首先跨域是指我们浏览器在发起一个网络请求的时候，会首先去检查该请求所对应的协议域名端口和当前啊 发起这个请求的网页是否一致啊？举个例子，当然如果说不一致的话，那么指浏览器他就会进行一个限制。呃，比如说啊，在 我们如果说打开了百度啊，或者说百度里面的某一个网页，那这个时候这个网页中间，如果说啊，去使用阿贾克斯去访问的京东的某一个网站，那这是不行的啊。但是啊，其中有一点就是说，如果说我们的网页里面啊，你的一妹，也就是图片呀，呃， 包括 supreme 的等标签的 s 啊，十一属性属性，你你可以去反问其他的一些域名什么的，那是可以的啊， 所以之所以浏览器他要做这层限制，其实是为了用户信息的一个安全，因为比如说你在百度里面，你去进行那个登录，对吧？回头啊，你这个网页你去访问京东，那么很有可能随着你访问这个网站，那么你就会把你登录百度的信息， qq 等等，哎，就发送给了京东啊。 如果说我们把京东这个网站换成一个黑客的网站，那么很有可能你就把你自己登录的相关的这些信息呢，就发 发送到这个网站里面去了，所以说浏览器他会统一的去啊，做一种我们说的就是同源啊，是不是看你这源是什么呢？就是协议域名端口啊，都一样的话，那么就表示你们这两个请求是同一同源 好，所以浏览器他会做这这一层限制，其实就是为了去保证用户信息的一个安全。当然如果说我们在开发的过程中间我们确实有这种需求，那么呢我们也是可以去绕过这层限制的。那么有什么方法？首先我们可以在 respos， 在我们的响应里面去添加这么一个黑的啊，这种黑的也表示呃不受任何的限制，心嘛，比如说，呃，我可以去跨啊，我可以去跨域，去访问所有的网站，当然你可以去指定你要跨域，你你可以呃，就是呃 可以反问直接反问哪个网站而不受限制，对这个的你都可以去呃进行进一步的写细一点的好。那么还有一种就是我们的接审批的方式，因为像我们刚刚说了，我们可以通过这种是惠普的标签啊， s 是以属性去反问另外的域名， 另外的呃原他也是可以的，说接审批其实他底层啊，也是基于我们 supreme 的标签来实现的。 我们还有就是后台自己控制，比如说，呃，我们就可以通过其他的方式对我们啊，如果说现在我们要去访问京东这个网站，但是呢我直接去访问可能就访问不了，但是我可以先啊去访问百度的另外一个呃 接口，假设对吧？啊？反问这个接口，那么由这个接口啊，他因为他是属于后台了啊，那么这个就后台他是不受这种同源限制。哎，这个接口内部啊，我们再去反问京东，然后就包括现在我们这些的后台自觉控制，我先反问同域名下面的 同域名下面的另外一个接口，然后呢？在接口中间再去使用 hctp ctrand 的这种工具去调用我向咱们的目标接口，哎，这样做，哎，就可以绕过我们这种限制。 同样的，类似的，我们还可以通过统一的一个网关，哎，比如说这个，是啊，等等，对不对？和第三种方式有点类似，反正都是交给后台服务，哎，他们，哎用后台来进行这种跨域的反馈，所以说，呃，这是我们的跨域。

哈喽，通知一件事情啊，亚马逊跨站点关联的风口他又来了。大家都知道亚马逊是允许全球开店的，那么其中一个站点出现问题的话，那么其他的站点就会发生关联问题，比如你的北美清泉疯掉了，那么欧洲就会发生关联。 而以前常规的操作呢，是必须要先解决北美的侵权才能激活欧洲，但是目前呢，已经能够单独的申诉欧洲账户了，如果有遇到相同问题的卖家朋友们，现在可以联系我了哟。