关键词:
| Mozilla 很高兴地宣布,Firefox 90 版本将支持基于“元数据请求标头”的获取功能,使得 Web 应用程序能够保护自身和用户免受各种跨源威胁。据悉,此类威胁涵盖了跨站点请求伪造(CSRF)、跨站点泄露(XS-Leaks)、以及投机性跨站点执行侧信道(Spectre)攻击。 |
Mozilla 很高兴地宣布,Firefox 90 版本将支持基于“元数据请求标头”的获取功能,使得 Web 应用程序能够保护自身和用户免受各种跨源威胁。据悉,此类威胁涵盖了跨站点请求伪造(CSRF)、跨站点泄露(XS-Leaks)、以及投机性跨站点执行侧信道(Spectre)攻击。
跨站攻击的背后,其实涉及 Web 的基本安全问题。出于开放的特性,其难以允许 Web 服务器端严格区分自身应用程序(浏览器选项卡)的请求、或源自可能以不同方式打开的恶意(跨站点)应用程序的请求。
如上图所示,假设用户登录了托管于 https://banking.com 的银行网站,并开展了网银相关的某些活动。
与此同时,被恶意攻击者控制的网站、也可在不同的浏览器标签页中打开并执行来自 https://attacker.com 的一些恶意操作。
于是在用户正常交互的过程中,网银 Web 服务器端可能收到某些例外操作,但却几乎无法分辨到底由用户本人、还是另一标签页中的恶意攻击代码发起的操作。
最终导致网银或常见的 Web 应用程序服务器刻板地接收任意操作,并允许发起相关攻击。
引入元数据请求标头功能
好消息是,从 Firefox 90 开始,Mozilla 将允许 Web 浏览器通过 HTTP 请求头来获取元数据(Sec-Fetch-*),从而让 Web 服务器更好地区分同源 / 跨站攻击请求。
借助 Sec-Fetch-* 系列请求标头中提供的附加上下文(支持 Dest、Mode、Site、以及 User 这四种请求标头),Web 服务器将能够火眼金睛地拒绝或忽略恶意请求。
Fetch Metadate 请求标头的启用,可为各种 Web 应用服务带来深度防御机制。此外 Firefox 将很快推出新的站点隔离安全架构,以进一步解决上述某些问题。
更多linux咨询请查看www.linuxprobe.com
每次打开 Firefox 时都会发出跨站攻击警告
】每次打开Firefox时都会发出跨站攻击警告【英文标题】:CrosssiteattackwarningeachtimeIopenFirefox【发布时间】:2018-10-3007:23:44【问题描述】:每次打开Firefox时,我都会收到此错误。我安装了NoScript。也没有打开任何与该网站有关的选... 查看详情
边缘服务器网络(抵御ddos攻击)平衡请求负载
...的问题。当前云服务器面对DDos攻击时已有了较为成熟的抵御机制,但边缘服务器由于物理尺寸和延迟需求的限制,针对云服务器的抵御方法一般不适用于边缘服务器。解决方案:由于在边缘计算环境中,部署在不... 查看详情
跨站请求伪造攻击的基本原理与防范
摘要:文章介绍了跨站请求伪造攻击的基本情况,并以两种常见的场景作为讲解的范例,分析了该类攻击的主要原理与产生条件。针对跨站请求伪造攻击的主要目标和所利用的漏洞,重点介绍了5种不同的防范方法,并简单... 查看详情
csrf(跨站请求伪造)攻击(代码片段)
CSRF(跨站请求伪造)攻击CSRF(CrossSiteRequestForgery,跨站请求伪造)是一种近年来才逐渐被大众了解的网络攻击方式,又被称为One-ClickAttack或SessionRiding。攻击原理CSRF攻击的大致方式如下:某用户登录了A网站,认证信息保存在cookie中... 查看详情
教你轻松解决csrf跨站请求伪造攻击
本文分享自华为云社区《CSRF跨站请求伪造攻击及防御》,作者:HZDX。CSRF(Cross-siterequestforgery)跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行&#... 查看详情
跨站请求伪造攻击的表单安全性
】跨站请求伪造攻击的表单安全性【英文标题】:Formsecurityforcrosssiterequestforgeryattacks【发布时间】:2019-03-2416:26:39【问题描述】:我正在尝试防止跨站点请求伪造攻击(CRFS)。下面是我在login.php上的令牌生成器代码。这是否足够安... 查看详情
是否可以在请求标头中传递 WCF 客户端代理元数据信息?
】是否可以在请求标头中传递WCF客户端代理元数据信息?【英文标题】:IsitpossibletopassinWCFclientproxymetadatainfoinrequestheaders?【发布时间】:2021-05-1617:40:45【问题描述】:我们希望能够对我们使用简单的YYYY-MM模型或简单的整数生成... 查看详情
csrf跨站请求伪造攻击(代码片段)
CSRF跨站请求伪造攻击CSRF原理 下图大概描述了CSRF攻击的原理,可以理解为有一个小偷在你配钥匙的地方得到了你家的钥匙,然后拿着要是去你家想偷什么偷什么。CSRF攻击必须要有三个条件:(1)用户已经登录了站点A,并在... 查看详情
csrf-跨站请求伪造总结(代码片段)
1.概述CSRF(Cross-siterequestforgery),全称跨站请求伪造,从字面意思可以看出CSRF攻击者是通过使合法用户发起请求,来实现对被攻击网站的访问。CSRF攻击原理 从下图我们可以更加直观地理解CSRF攻击的原理。从上图我们可... 查看详情
为啥 Chrome 或 Firefox 不显示待处理请求的请求标头?
】为啥Chrome或Firefox不显示待处理请求的请求标头?【英文标题】:Whydoesn\'tChromeorFirefoxshowrequestheadersforpendingrequests?为什么Chrome或Firefox不显示待处理请求的请求标头?【发布时间】:2018-05-2822:42:36【问题描述】:如果您正在构建... 查看详情
安全性测试入门:csrf跨站请求伪造攻击和防御
安全性测试入门(三):CSRF跨站请求伪造攻击和防御本篇继续对于安全性测试话题,结合DVWA进行研习。CSRF(Cross-siterequestforgery):跨站请求伪造1.跨站请求伪造攻击CSRF则通过伪装成受信任用户的请求来利用受信任的网站,诱使用... 查看详情
dvwa跨站请求伪造csrf攻击全面分析
1、CSRF简介 CSRF全称是CrossSiteRequestForgery,跨站请求伪造。简单理解就是利用客户身份伪造请求,以达到指定目的。 具体场景就是:假设A登陆了某游戏网站Game,那么Game网站就会返回一个cookie来记录用户身... 查看详情
Firefox:CORS 缺少允许标头
】Firefox:CORS缺少允许标头【英文标题】:Firefox:CORSMissingAllowHeader【发布时间】:2021-11-2709:49:13【问题描述】:我的Firefox正在向我的私人后端发出一个OPTIONS预检请求,以使用凭据发出后续GET请求。预检请求包含标头Originhttp://loca... 查看详情
安全牛学习笔记csrf跨站请求伪造攻击漏洞的原理及解决办法
CSRF跨站请求伪造攻击漏洞的原理及解决办法CSRF,夸张请求伪造漏洞漏洞的原理及修复方法1.常见的触发场景2.漏洞原理:浏览器同源策略3.DEMO4.漏洞危害5.如何避免&修复漏洞WEBclinetserverHTTPGETPOSTcsrf漏洞漏洞原理:Server端接受到... 查看详情
fortify漏洞之cross-sitescripting(xss跨站脚本攻击)
...书接上文,继续对Fortify漏洞进行总结,本篇主要针对XSS跨站脚步攻击漏洞进行总结如下:1、Cross-SiteScripting(XSS跨站脚本攻击)1.1、产生原因:1.数据通过一个不可信赖的数据源进入Web应用程序。对于ReflectedXSS(反射型),不可... 查看详情
使用 AngularJS 在 Firefox 中更改请求标头时遇到问题
】使用AngularJS在Firefox中更改请求标头时遇到问题【英文标题】:troublechangingrequestheadersinFirefoxwithAngularJS【发布时间】:2014-08-1908:37:38【问题描述】:我的后端要求“Content-Type”请求标头完全是“application/json”。这是一个CORS请求... 查看详情
csrf跨站请求伪造与xss跨域脚本攻击讨论
...整理了如下资料,与大家分享.CSRF(Cross-siterequestforgery):跨站请求伪造。从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件:(1)登录受信任网站A,并在本地生成Cookie。(如果用户没有登录网站A,那么网... 查看详情
深入解析跨站请求伪造漏洞:实例讲解
本文的上篇中,我们着重介绍了跨站请求伪造的原理,并指出现有的安全模型并不能真正防御这种攻击。在下篇中,我们将向读者介绍在一些大型站点上发现的几个严重的CSRF漏洞,攻击者利用这些漏洞不仅能够采集用户的电子... 查看详情