Django CSRF 原理分析

最新推荐文章于 2020-03-03 20:05:41 发布
最新推荐文章于 2020-03-03 20:05:41 发布
阅读量2.2k 收藏 1
点赞数 2
分类专栏: web开发 Python 文章标签: django csrf 互联网 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011715678/article/details/48752873
版权

关于CSRF: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。

CSRF防护原理: 直接举一个攻击例子:CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作。比如说,受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/withdraw?account=bob&amount=1000000&for=bob2 可以使 Bob 把 1000000 的存款转到 bob2 的账号下。通常情况下,该请求发送到网站后,服务器会先验证该请求是否来自一个合法的 session,并且该 session 的用户 Bob 已经成功登陆。黑客 Mallory 自己在该银行也有账户,他知道上文中的 URL 可以把钱进行转帐操作。Mallory 可以自己发送一个请求给银行:http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory。但是这个请求来自 Mallory 而非 Bob,他不能通过安全认证,因此该请求不会起作用。这时,Mallory 想到使用 CSRF 的攻击方式,他先自己做一个网

最低0.47元/天 解锁文章
AosenZhang
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
DjangoCSRF原理与中间件
WOSHIBEIZHE的博客
10-30 300
CSRF 我们在开始学习Django时通常教学会让我们把setting中的CSRF注释掉,那么我们为什么要注释掉呢,我们首先来尝试下不注释掉会发生什么?不注释的话,正常get请求是没有问题的,当我们发送post请求时,就会报错403 表单提交 那么这是为什么呢,我们先来说说CSRF原理,例如当用户想要登录,输入了账号密码,CSRF就会返回一串字符给用户,用户每一次请求都带着此串字符才能正常操作,我们在form表单中添加 {% csrf_token %}即可表单带着csrf提交 ajax提交 {% csr
Django框架学习16--csrf防御机制及原理
铁马冰河入梦来
12-20 1305
csrf攻击说明 1.用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3.用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 4.网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A; 5.浏览器在接收...
DjangoCSRF原理及应用详解
热门推荐
AlexGeek
09-22 1万+
 Web开发中十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造(CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
DjangoCSRF原理
theskylife的博客
12-08 295
1.CSRF介绍 csrf,跨站请求伪造,也被称为"One Click Attack"或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 为了防止这种现象,需要在Ajax提交时,为form表单添加一个随机字符串,以避免被恶意篡改。Django中为了实现这一功能,可以通过在settings文件中,使用以下中间件: django.middleware...
DjangoCSRF 保护机制
weixin_34348174的博客
12-02 199
django 有多久,我跟 csrf 这个概念打交道就有久了。 每次初始化一个项目时都能看到 django.middleware.csrf.CsrfViewMiddleware 这个中间件 每次在模板里写 form 时都知道要加一个 {% csrf_token %} tag 每次发 ajax POST 请求,都需要加一个 X_CSRFTOKEN 的 header 但是一直我都是...
django框架CSRF防护原理与用法分析
12-31
本文实例讲述了django框架CSRF防护。分享给大家供大家参考,具体如下: CSRF防护 一、什么是CSRFCSRF: Cross-site request forgery,跨站请求伪造 用户登录了正常的网站A, 然后再访问某恶意网站,该恶意网站...
Django csrf 验证问题的实现
09-20
csrf是通过伪装来自受信任用户的请求来利用受信任的网站。这篇文章主要介绍了Django csrf 验证问题的实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
django-csrf使用和禁用方式
12-20
orm表单使用csrf a. 基本应用 form表单中添加 {% csrf_token %} ... from django.views.decorators.csrf import csrf_exempt @csrf_exempt def csrf1(request): if request.method == 'GET': return
vue-resource post数据时碰到Django csrf问题的解决
10-15
主要介绍了vue-resource post数据时碰到Django csrf问题的解决,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
DjangoCSRF防护原理及使用
逸尘的专栏
05-29 4904
django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。全局:中间件 django.middleware.csrf.CsrfViewMiddleware局部:@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没
Django之sql注入,XSS攻击,CSRF攻击原理及防护
time
06-21 5731
sql注入的危害非法操作用户数据库的数据来获取利益,通过修改数据库来修改网页的内容,注入木马等未完待续
详解DjangoCSRF认证
钉子
09-24 348
1.csrf原理 csrf要求发送post,put或delete请求的时候,是先以get方式发送请求,服务端响应时会分配一个随机字符串给客户端,客户端第二次发送post,put或delete请求时携带上次分配的随机字符串到服务端进行校验 2.Django中的CSRF中间件 首先,我们知道Django中间件作用于整个项目。 在一个项目中,如果想对全局所有视图函数或视图类起作用时,就可以在...
django中间件实现原理
fksfdh的博客
03-03 662
中间件实现原理:递归回调 def load_middleware(self): """ Populate middleware lists from settings.MIDDLEWARE. Must be called after the environment is fixed (see __call__ in subclasses...
django中间件CsrfViewMiddleware源码分析,探究csrf实现
qq_27952549的博客
09-05 1636
Django Documentation csrf保护基于以下: 1. 一个CSRF cookie 基于一个随机生成的值,其他网站无法得到。此cookie由CsrfViewMiddleware产生。它与每个调用django.middleware.csrf.get_token()(这是一个用于取回CSRF token的方法)的响应一起发送,如果它尚未在请求上设置的话。为了防止BREACH攻击,t...
Django csrf 的源码解析(DRF会避开 csrf 因为其类 APIView 继承了Django框架的 View 并重写了 as_view 方法)
cpxsxn的博客
08-15 548
本文要说明一个问题: Django 后端什么时候会让前端在 cookie 中的写 crsftoken? 是每次请求都会写一个新的 crsftoken 吗? C:\Python27\Lib\site-packages\django\middleware\csrf.py def _sanitize_token(token): # Allow only alphanum if le...
Django —— csrf 验证问题
何惜戈
02-07 2640
关于 csrf 的基本了解 百度百科:CSRF(Cross-site request forgery)跨站请求伪造,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。通过伪装来自受信任用户的请求来利用受信任的网站。 简单来说就是攻击者盗用你的身份,以你的名义来发送恶意请求。比如说用户通过账号密码访问了网站A,A网站将一些cookie信息保存在浏览器中实现用户状态行为跟踪。这时用户...
Django 与 go 效率 比较
guan__ye的博客
08-09 1万+
最近学了GO语言,想知道一下GO语言的效率和Python哪个好一点,到底差到什么程度, 下面是亲测: GO代码: Python 代码: GO语言结果: Python结果: 真心话Python是真球慢,等它好久了就是没有运行完 20亿好几分钟了还没有运行完,GO语言也就一秒的事,知道为啥吗? python GIL,GIL是Python最为诟病的一点,因为GIL,pyt...
对一次csrf的复现
cxk
03-22 1392
csrf跨站请求伪造   CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。   自己的简单理解,A用户登录了一个页面,没有退出,B向A发了一个页面,A进去点了某个按钮,然后在A不知情的情况添加了账号或者其他操作。   第一次csrf实战操作 发现无token验证,随用bp自带构造poc...
(转载)django工作原理简介
myvanguard的博客
10-10 6761
先简单的介绍一下django的工作原理,其中还会涉及到Middleware(中间件,包括request, view, exception, response),URLConf(url映射关系),Template(模板系统)这几个概念,稍后会有介绍 。1. 用户通过浏览器请求一个页面2. 请求到达Request Middlewares中间件,中间件对request做一些预处理或者直接response请
django CSRF verification failed. Request aborted.
最新发布
06-15
这个错误通常是由于 DjangoCSRF 保护机制导致的。DjangoCSRF 保护是一种安全机制,用于防止恶意网站利用用户的身份在你的网站上执行一些操作。在 Django 中,当用户提交表单时,Django 会生成一个 CSRF 令牌...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值