使用nodejs防止csurf攻击的方法
2016-08-11 17:47
585 查看
一.CSRF是什么?
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
二.CSRF可以做什么?
你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。
三.CSRF漏洞现状
CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。
四.CSRF的原理
下图简单阐述了CSRF攻击的思想:
从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:
1.登录受信任网站A,并在本地生成Cookie。
2.在不登出A的情况下,访问危险网站B。
以上内容转自 hydd 的博文 《浅谈CSRF攻击方式》
四.nodejs防止CSURF攻击的方法:
1)安装csurf和express-session包,因为csurf包依赖express-session包,所以两个依赖包都要安装
2)安装完依赖后,先在app.js文件中引入express-session模块,该模块的引入放在路由的前面,不然会报错
3)使用csurf模块
4)隐藏csrfToken
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
二.CSRF可以做什么?
你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。
三.CSRF漏洞现状
CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。
四.CSRF的原理
下图简单阐述了CSRF攻击的思想:
从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:
1.登录受信任网站A,并在本地生成Cookie。
2.在不登出A的情况下,访问危险网站B。
以上内容转自 hydd 的博文 《浅谈CSRF攻击方式》
四.nodejs防止CSURF攻击的方法:
1)安装csurf和express-session包,因为csurf包依赖express-session包,所以两个依赖包都要安装
cnpm insatll csurf --save cnpm install express-session --save
2)安装完依赖后,先在app.js文件中引入express-session模块,该模块的引入放在路由的前面,不然会报错
var session = require('express-session'); app.use(session({ //生成一个session实例 secret: 'keyboard cat', resave: false, saveUninitialized: false, }));
3)使用csurf模块
var csurf = require('csurf'); //引入模块 var csrfProtection = csurf(); //设置路由中间件 router.use(csrfProtection); router.get('/user/signup',function(req,res,next){ res.render('user/signup',{ csrfToken: req.csrfToken() }); });
4)隐藏csrfToken
<input type="hidden" class="form-control" name="_csrf" value="{{csrfToken}}">
相关文章推荐
- 开发nodejs前需要知道的一些东西
- 单元测试:使用mocha和should.js搭建nodejs的单元测试
- view之RenderNode
- 在windows上用nodejs搭建静态文件服务器的简单方法
- node.js
- inodes占用100%的问题
- 防止Node.js中错误导致进程阻塞的办法
- node-本地搭建服务
- 谈谈这一年来做项目的经历(1)
- NodeJS简述
- nodejs实战:使用原生nodeJs模块实现静态文件及REST请求解析及响应(基于nodejs6.2.0版本,不使用express等webMVC框架 )
- hadoop namenode管理元数据机制
- Nodejs抓取html页面内容(推荐)
- nodejs 调试
- nodejs系统包之events(事件)
- [置顶] node.js学习笔记目录
- 基于Node的React图片上传组件实现
- [LeetCode] Linked List Random Node 链表随机节点
- node.weiChat
- Node.js中防止错误导致的进程阻塞的方法