最新【Django网络安全】如何正确防护CSRF跨站点请求伪造_drf csrf

最新推荐文章于 2024-05-11 21:29:58 发布
最新推荐文章于 2024-05-11 21:29:58 发布
阅读量906 收藏 25
点赞数 12
分类专栏: 程序员 文章标签: django web安全 csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84281748/article/details/138437048
版权
本文详细解释了CSRF攻击的场景、防御措施,重点介绍了Django中的CSRF验证过程,涉及CSRFViewMiddleware、cookie与session中CSRF_TOKEN的管理,以及在前后端分离项目中正确处理CSRF的方法。
摘要由CSDN通过智能技术生成

在这里插入图片描述

一、CSRF攻击场景

对于用户的的所有操作,除了get查询,其他请求都需要保护,包括POST、PUT和DELETE。

发送邮件
修改账户信息
资金转账
盗取用户隐私数据
网站被上传网马
作为其他攻击方式的辅助攻击(比如xss)
传播CSRF蠕虫(见下文中的YouTube CSRF漏洞)
等等

二、CSRF攻击的防御手段

1.验证 HTTP Referer 字段

这种方式理论上可行,实际情况是Referer可以被伪造。

2.请求地址添加token并验证

django的验证方式是csrftoken验证。实现的主要是长cookie中csrftoken和表单中的csrfmiddlewaretoken是否为同一加密编码来源来实现csrf防御。csrftoken和csrfmiddlewaretoken这两个参数在接下来是我们关注的重点。

三、Django的CSRF防御解析

django的csrf防御是通过中间价来执行,默认是开启状态。位置是django项目的settings文件。

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',  # csrf防御
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'utils.middleware.LogMiddleware.OpLog',  # 访问记录
]

1.CSRF防护的过程

CsrfViewMiddleware中间件使用的情况下,通过中间件的process_request方法获取请求cookie中的csrftoken,通过proc

最低0.47元/天 解锁文章
2401_84281748
关注
  • 12
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django ajax异步请求Django的Ajax库3813428.zip
02-01
**四、处理Django CSRF请求伪造)** Django默认对POST请求启用CSRF保护。对于Ajax POST请求,需要在前端发送请求时包含CSRF令牌。可以使用jQuery的`$.ajaxSetup()`全局配置: ```javascript $.ajaxSetup({ ...
Django CSRF
光明小学王小雨的博客
12-16 1861
一、CSRF攻击攻击原理及过程 CSRF(Cross Site Request Forgery, 站域请求伪造)是一种网络的攻击方式 1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B...
Django网络安全】如何正确防护CSRF站点请求伪造
黎明总是如期而至
04-09 1083
CSRF(Cross-site request forgery),中文名站点请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器中的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
DjangoCSRF原理及应用详解
AlexGeek
09-22 1万+
 Web开发中十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.站脚本攻击(XSS)            3.请求伪造CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
安全】(二)Djangocsrf防御
财迷的博客
02-28 1301
安全】(二)Djangocsrf防御
Django CSRF(什么是CSRF?)\Django前后端分离csrf token获取方式
西京刀客
12-07 1581
Django CSRF 浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。 浏览器的同源策略并不能阻止CSRF攻击。 什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是请求伪造Django CSRF django为用户实现防止请求伪造的功能,通过中间件django.middleware.csrf.CsrfViewMiddle
django_learning:django_base和强
03-09
8. **Middleware**:中间件是Django的一种特殊组件,可以在请求被视图处理之前或之后执行代码,如记录日志、处理CSRF请求伪造)等。 9. **Django Rest Framework (DRF)**:如果“强”指的是RESTful API开发,...
Django使用rest_framework写出API
09-16
当涉及到请求伪造CSRF保护时,如果遇到错误,可能需要在请求头中添加`X-CSRFToken`字段,其值为浏览器中的`csrftoken` cookie。这通常只在使用表单提交或从受保护的域进行非GET请求时才需要。 总结来说,...
django_user_api
03-17
DjangoCSRF请求伪造保护和XFrameOptionsMiddleware可以防止这些攻击。 12. **部署**:最后,Django项目通常部署在WSGI服务器上,如Gunicorn或uWSGI,再通过Nginx等反向代理服务器进行负载均衡和静态文件...
django rest framework 实现用户登录认证详解
09-18
Django REST framework(DRF)是一个强大的、灵活的工具集,用于构建Web API。它提供了很多用于序列化、权限控制、版本管理等功能的组件,其中用户认证和权限控制是DRF提供的核心功能之一。用户登录认证作为Web应用...
Django中的CSRF保护机制:原理及如何使用?
04-28 570
DjangoCSRF保护机制的原理是,当用户访问一个包含表单的页面时,Django会生成一个随机的CSRF令牌并将其存储在用户会话中。当用户提交表单时,Django会验证表单中的令牌是否与用户会话中存储的令牌匹配。CSRF攻击是通过在用户浏览器上发送一个伪造请求来实现的,请求中包含了用户在其他网站上的身份验证信息。这样,在提交表单时,Django会验证请求中的CSRF令牌是否与用户会话中的令牌匹配。另外,如果使用 AJAX 来提交表单,可以将令牌作为请求的一个参数来传递,或者将其添加到请求头中。
Python web实战 | 细说 Django站点请求伪造CSRF保护
Saki_Python的博客
08-16 473
本文详细介绍了 Django 中的站点请求伪造CSRF保护机制。实际开发中,仅仅靠CSRF机制并不是绝对安全的,还应该结合其他安全措施,综合多种技术来确保应用程序的安全性。
Django安全认证机制CSRF
ssshey的博客
07-07 1018
Django安全认证机制CSRF
Django——CSRF权限认证处理
胖大xian
02-08 620
CSRF权限认证 请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 一、简单说明csrf如何操作 请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经
Django 中针对基于类的视图添加 csrf_exempt
热门推荐
kongxx的专栏
08-17 2万+
Django中对于基于函数的视图我们可以 @csrf_exempt 注解来标识一个视图可以被域访问。那么对于基于类的视图,我们应该怎么办呢?简单来说可以有两种访问来解决方法一:在类的 dispatch 方法上使用 @csrf_exemptfrom django.views.decorators.csrf import csrf_exemptclass MyView(View): def g
Django及Flask漏洞合集
小小猪的博客
08-20 3446
Django漏洞 Django任意代码执行 poc: import os os.environ.setdefault('DJANGO_SETTINGS_MODULE','settings') from django.conf import settings from django.core import signing from django.contrib.sessions.backends import signed_cookies class
请求伪造CSRF)攻击原理及预防手段
慢慢
06-02 5717
随机化Token(CSRF Token):Token是用于验证网站请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序中,可以通过hidden field的方式将Token加入到表单中,提交时验Referer检查:在服务端校验请求头中的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
DjangoCSRF防攻击原理详解
景天科技苑
01-18 1193
CSRF(Cross-site request forgery),中文名称:请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息
2024年网络安全最全【Django网络安全】如何正确防护CSRF站点请求伪造_drf csrf,2024年最新网络安全开发经典实战
最新发布
2401_84301853的博客
05-11 967
CSRF(Cross-site request forgery),中文名站点请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器中的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
Django DRF框架下的用户验证与JWT拓展详解
Django DRF框架中,用户验证和JWT(Json Web Tokens)扩展是实现网站安全性与高效通信的重要组成部分。本文旨在详细介绍这两个关键概念,特别是如何在DRF项目中集成和利用JWT进行用户身份验证。 首先,Django ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值