python 中的 csrf(xsrf: 在 tornado 中) 和 cors

最新推荐文章于 2024-07-11 14:48:05 发布
最新推荐文章于 2024-07-11 14:48:05 发布
阅读量1.5k 收藏 1
点赞数
文章标签: python csrf 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xinxinNoGiveUp/article/details/78900359
版权

csrf 跨站请求伪造

csrf( cross-site request forgery) 属于一种跨站攻击, 在 tornado 中被称为 xsrf
不一定是站内输入, 被伪造的请求可以使任何来源, 并非一定是站内输入

产生背景

前后端完全分离;
跨域资源共享;

核心

伪造服务器, 攻击正常访问网站的用户

解决策略

过滤请求的处理者
1. client 端提交表格是增加随机数 hash 值(用隐藏标签的方式提交), 在 server 端进行验证是否一致, 只有真正的 server 端拥有正确的 hash 值
2. 使用”认证令牌”, 身份认证从 cookies 变为 token
3. 增加验证码
4. 增加 http 中的 referer 标识, 来判断是同域还是跨域, 跨域是否是允许的

cors 跨域资源共享

cors (cross-origin resource sharing) 是 W3C 提出的一个标准, 如今是较为主流的解决跨域资源请求方案. [ IE8+都可以兼容 ]

产生背景

为了防止 csrf

»»»浏览器引入同源(同domain/ip, 同端口, 同协议)策略(sop)保证访问安全, 爱能互相获取资源

»»»前后端不能分离,不能操作 cookies, 不能发送 ajax等问题

提出服务器跨域 (使用反向代理 或 cors)

核心思想

通过一系列新增的 http 头信息来实现 server 和 client 之间的通信, 所以, 要支持 cors, server 端要做一些相应的配置, 这样, 在保证安全性的同事, 也方便了前端的开发

此时, 浏览器会将 cors 请求分为两类:
- 简单请求: HEAD GET POST
- 非简单请求: PUT DELETE OPTIONS
非简单请求会触发 cors preflight (预检请求)

触发预检请求也有其他情况:
- 传输的数据格式不是 application/x-www-form-urlencoded
- 操作 cookies

# 后端header配置(举例: tornado中)
    def set_default_headers(self):
        self.set_header("Access-Control-Allow-Origin", self.request.headers.get("Origin", "*"))  # 限定请求源
        self.set_header("Access-Control-Allow-Headers", "x-requested-with,authorization")  # 请求头
        self.set_header("Access-Control-Allow-Methods", "POST,GET")  # 限定合法的请求方式
        self.set_header("Access-Control-Allow-Credentials", "true")  # 证书
        self.set_header("Content-type", "application/json")  # 限定请求数据格式

参考和延伸:
tornado 的防 csrf
那些跨域
csrf & cors
跨域解决方案一: cors
cors简单请求和预检请求
post 中 content-type 的几种取值

HelloSunPing
关注
pythonCSRF设置(一)
野先生的专栏
10-31 2408
pythonCSRF设置一 csrf:跨站请求伪造,通过间件 django.middleware.csrf.CsrfViewMiddleware 来完成 1、单个ajax提交设置,在ajax内添加:headers: {‘X-CSRFtoken’: $.cookie(‘csrftoken’)}, $('#btn').click(function () { $.ajax({ ...
Pythoncsrf攻击与防御
開開吣吣的博客
10-14 558
CSRF概念 CSRF跨站点请求伪造(Cross—Site Request Forgery)。 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 CSRF攻击原理以及过程 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登...
Python-csrf
傻瓜的专栏
12-05 1351
<br />CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。<br /> <br />解决方法:<br />(1)在setting:增加红色的三行<br />MIDDLEWARE_CLASSES = (<br />    'django.middleware.common.CommonMiddleware',<br />    'django.contrib.sessions.middleware.SessionM
HTTP请求CORS策略与Python实现
weixin_73725158的博客
07-11 439
在现代Web开发,跨源资源共享(CORS, Cross-Origin Resource Sharing)是一个重要的安全特性,它允许或拒绝来自不同源的Web页面访问当前源的服务器资源。通过合理配置CORS策略,Python Web应用可以安全地处理跨域请求,同时保护用户数据不受未授权访问的威胁。如果你的应用同时服务于多个源,可以通过动态设置CORS头部来管理跨域请求,但这需要更复杂的逻辑来处理。如果设置为一个具体的URL,则只有来自该URL的请求被允许。是最关键的,它指定了哪些源的请求被允许访问资源。
Python随笔之CSRF问题解决办法
Chris Mao的专栏
09-14 740
在学习Django之初,遇到这样一个问题,就是在提交数据的时候会出现如下图所示的错误   在网上找了一些解决方法,发现下面这个方法还是比较简单的。 就是在settings.py文件里面的MIDDLEWARE_CLASSES加入''django.middleware.csrf.CsrfResponseMiddleware',错误就可以消除了。   版权声明:本文为博主原创文章,...
Django 的 CSRF 保护机制
weixin_34348174的博客
12-02 225
用 django 有多久,我跟 csrf 这个概念打交道就有久了。 每次初始化一个项目时都能看到 django.middleware.csrf.CsrfViewMiddleware 这个间件 每次在模板里写 form 时都知道要加一个 {% csrf_token %} tag 每次发 ajax POST 请求,都需要加一个 X_CSRFTOKEN 的 header 但是一直我都是...
CSRF防护:CORSCSRF的关系.docx
最新发布
08-27
CSRF防护:CORSCSRF的关系.docx
CSRF Failed: CSRF token missing or incorrect
xiaofuge027的博客
12-29 8352
本项目是前后端分离(vue+ Django3) 本地测试 Django settings设置了跨域, post请求没问题; 申请了域名 使用nginx正式部署项目后,发现post请求报错: CSRF Failed: CSRF token missing or incorrect 问题解析: 这是一个django的跨域访问问题。 django,会对合法的跨域访问做这样的检验,cookies里面存储的’csrftoken’,和post的header里面的字段”X-CSRFToken’作比较,只有两
CSRFScanner:Python CSRF漏洞扫描器
05-06
可以在PDF CSRFScanner_Explications.pdf(以法语编写)找到更多说明。 要求 Python> = 2.6 用法 python main.py [-R] URL Cookie -R是一个可选参数,用于跟随内部链接以扫描整个网站。 URL是要扫描的网页 ...
spring-velocity-csrf:在弹簧和速度处理CSRF的简单演示
05-21
基于CSRF求解,并添加了以下案例 ajax发布/获取 多部分/表单数据 弹簧CSRF速度 CSRF防御的代码示例 执行:bin / mvn_jetty_run.bat 请参阅演示: 注意:这是一个Maven Web项目。
CSRF防护:CSRF防护实战演练.docx
08-27
CSRF防护:CSRF防护实战演练.docx
python-cors:用于处理 HTTP 请求和同源策略的 Python
06-18
CORS 用于处理 HTTP 请求和同源策略的 Python 包。 概述 该软件包旨在通过能够自动测试我们发出的任何请求是否也可以从具有其他来源的脚本的浏览器发出来改进自动化 HTTP API 测试。 此包的代码力求与您用于实际发出 HTTP 请求的库无关,因此主要处理内部定义的Request类,该类只包含 url、标头和方法作为属性。 从这里您可以转换为发送请求所需的任何内容。 当然,Python 程序员往往非常喜欢(而且,我的意思是,谁不喜欢?),因此还有一个包含的函数可用于发送请求,包括预检和 CORS 标头检查。 用法 客户 低级 为了获得最大的灵活性,您可以使用包的低级功能来生成预检请求和可调用的检查方法来验证您的请求。 import requests import cors . preflight import cors . utils # create my ow
cors-python:PythonCORS 实现
06-06
cors-python Python服务器CORS 实现。 这个库是一个早期的 alpha 版本。 欢迎测试和反馈! 细节 通过设置Access-Control-Allow-Origin: *响应标头,可以轻松启用 CORS。 对于许多资源来说,这就足够了。 但是,如果您的 API 超出了简单的请求,则有许多边缘情况会使 CORS 难以使用。 这个库旨在让 CORS 变得简单:给它你的请求信息,它会吐出 CORS 响应头。 为您管理处理预检的所有细节。 其特点包括: 配置 CORS 的所有方面。 让您的 API 随心所欲地开放。 自定义验证器可让您准确控制允许使用哪些来源、方法和标头。 使用方便。 用大约 2 行代码位于您的应用程序顶部(请参见下面的示例)。 错误可以立即触发或传递到您的应用程序。 支持“Vary”标头,有时需要它来避免代理服务器缓存。 可以适应与大
Python-CORStest一个简单的CORS配置错误检查器
08-10
CORStest 一个简单的CORS配置错误检查器
python简易实现的 csrf防护
he93007的博客
11-30 523
上一篇讲的是用flask-wtf这个库实现csrf防护 https://blog.csdn.net/he93007/article/details/79980956   这篇讲一下手动实现. 按业务流程来讲 1 用户发起了登录请求  {username:xxxx,passwd:xxxx}   2 后端查询数据库 用户名密码是否正确,是否存在用户   3 存在用户且密码正确,我们...
python模拟开发WebQQ(三)处理CSRF
yill_h的博客
06-24 772
对跨站域请求伪造(csrf)的处理,提高软件安全性 当直接post没有加验证时会出现403错误。 这是由于csrf出现的问题     csrf的定义如下: 一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛,并且后者刚刚发布了一个具有Bob银行链接的图片消息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接,
csrfpython的运用格式
Dai_yinian6的博客
06-23 458
# 导入生成 csrf_token 值的函数 from flask_wtf.csrf import generate_csrf # 调用函数生成 csrf_token csrf_token = generate_csrf()@app.after_request def after_request(response): # 调用函数生成 csrf_token csrf_token =...
Python web实战 | 细说 Django 的跨站点请求伪造(CSRF)保护
Saki_Python的博客
08-16 481
本文详细介绍了 Django 的跨站点请求伪造(CSRF)保护机制。实际开发,仅仅靠CSRF机制并不是绝对安全的,还应该结合其他安全措施,综合多种技术来确保应用程序的安全性。
PythonCSRF攻击是什么
weixin_46084533的博客
04-17 377
由于CSRF通常是由第三方站点发起的,因此可以要求所有敏感操作都必须通过带有自定义请求头的XMLHttpRequest发起,这样的请求不可能由第三方站点发起。
理解并防范CSRF攻击:Python Web框架的实战教程
- **未做CSRF校验的WebA示例**:在WebA应用,后端直接从请求获取`username`和`password`,没有检查`csrf_token`。这意味着如果用户登录后访问其他站点,然后被恶意链接引导填写表单,攻击者可能借此执行转账操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值