Django之CSRF XSS原理解析【交互篇四】

最新推荐文章于 2023-08-31 20:15:43 发布
最新推荐文章于 2023-08-31 20:15:43 发布
阅读量766 收藏 3
点赞数 5
分类专栏: Django Django之前后端交互篇【一】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Burgess_zheng/article/details/86548425
版权

上一篇:Django之模板HTML相关【交互篇三】点击跳转
目录篇:Django之前后端交互篇目录 点击跳转
下一篇:Django之Ajax【交互篇五】点击跳转

目录

CSRF

CSRF原理:安全验证机制(跨域请求保护)
列子:假如A某在自己的电脑登录了一个招商银行的网站
1.我们再去点招商银行该网站的其他页面,是不需要继续登录的


2.服务端和客户端是一个短连接,也就是客户端发送请求以后,服务端回复了以后链接就断开了。可以这样理解,客户端发送了请求,服务端返回了数据,然后我们看到数据的时候,其实内部已经和服务器断开了,相当于客户端在服务端下载了数据,然后在自己的浏览器进行模板渲染。


3.然后我们再次点击渲染数据内的链接,那么等于重新发起一个请求,那么问题来了请问服务器是如何确定还是A某点击的?
解决这个问题,就是A某登录的时候,服务端生成一个session id,然后把session id返回给了客户端,客户端在把session id存到浏览器cookie里面去,每次A某的浏览器访问的时候其实已经发送了这个session id给服务端了,所以服务端能确认是A某,就无需A某在登录


4.此刻A某登录另外一个AV网站,该AV网站也有自身的session id 放到了A某浏览器的cookie里面 和招商网站的session id放在A某的cookie里的没任何关系。可以这样比喻:AV网站在客户端的浏览器创建了文件然后把session id放入这个文件,招商银行的同理,所以是两个网站的cookie是没关系的,

最低0.47元/天 解锁文章
Burgess_zheng
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bts-resumes:基于Django的简历解析器和职位搜索
02-04
8. **安全性**:Django框架提供了一些内置的安全机制,如防止跨站脚本(XSS)和跨站请求伪造(CSRF)攻击。在开发过程中,必须确保用户的隐私和数据安全。 9. **测试和部署**:项目开发完成后,需要进行单元测试、...
Django | 安全防护】防止XSS跨站脚本攻击
计算机魔术师的blog
08-18 824
假设我是一名攻击者🐱‍👤 xxs原理:攻击者将自己的个人信息填写上javascript脚本,那么我们作为用户去查看字段时,会直接渲染 信息内容,此时就会运行攻击脚本script进行发送信息,删除用户等操作......
Django防止XSS攻击的几种方式
u011300968的博客
07-19 8144
一、什么是XSS攻击 XSS即跨站脚本攻击,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 二、防止XSS攻击的两种方式 1、对单一变量逐个进行转义过滤。利用{% autoescape off|on %}。 2、利用django的HTML自动转义,无需autoescape 标签,django中的HTML文档会自动转义。< 转化
django/CVE-2017-12794XSS漏洞复现
weixin_56537388的博客
08-31 957
alert(1)
前端安全之XSS攻击
weixin_34381666的博客
02-18 1155
XSS(cross-site scripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是: 1. Reflected XSS(基于反射的XSS攻击) 2. Stored XSS(基于存储的XSS攻击) 3. DOM-based or local XSS(基于DOM或本地的XSS攻击) Reflected XSS 基于反射的...
Django过滤xss攻击
weixin_30740581的博客
04-22 415
XSS 是常见的跨站脚本攻击,而且这种类型的错误很不容易被发现或者被开发人员忽视,当然django 框架本身是有这方面的考虑的,比如在模板中自动开启了 escape, 即html转义。何谓转义?就是把html语言的关键字过滤掉。例如,<div>就是html的关键字,如果要在html页面上呈现<div>,其源代码就必须是&lt;div&gt...
django4.0官方中文文档
03-07
10. **安全(Security)**:官方文档详细介绍了Django的安全特性,包括防止XSSCSRF、SQL注入等常见攻击。此外,还有密码管理、认证和授权机制的讲解,帮助开发者构建安全的应用。 11. **性能优化**:Django 4.0在...
python Django web 实训项目的实验报告
06-16
6. **安全性**: 内置了防止跨站请求伪造(CSRF)和跨站脚本(XSS)攻击的防护机制。 ### 2. 系统整体设计 在项目设计阶段,我们关注以下几个关键部分: - **文件结构**: 项目通常遵循标准的Django应用结构,包括`...
七、Django之练手项目:用户管理(增加、展示、删除用户)
06-30
安全方面,Django提供了一些内置的机制,如CSRF保护和XSS防护,确保用户数据的安全。确保在表单提交的URL上使用`@csrf_protect`装饰器,并在模板中正确地插入`{% csrf_token %}`标签。 最后,进行测试是确保项目...
python毕业设计之摄影交流平台源码(django+mysql).zip
最新发布
09-15
【Python毕业设计之摄影交流平台源码(Django+MySQL)】 这个项目是一个基于Python的Web应用程序,使用了Django框架构建,同时依赖于MySQL作为数据存储系统,为摄影爱好者提供了一个在线交流的平台。这样的平台通常...
Django1.11.4 XSS漏洞复现(CVE-2017-12794)
m0_63699746的博客
07-20 268
Django是重量级选手中最有代表性的一位。首先定义了dj错误类型数组,以及获取了db的错误类型,判断出现错误类型是否在db的错误类型中,如果存在,则将dj.exc.value.__cause__=exc.value (图上没有可能是因为在1.11.5版本下),直接将错误的值传给__cause__,而在500页面中会输出__cause__的值。docker启动vluhub中的CVE-2017-12794的漏洞环境。新版本1.11.5,修复了1.11.4中500页面中可能存在的一个XSS漏洞。
Django——DRF中使用JWT
hyk的博客
11-06 881
文章目录聊聊JWT1、JWT简介2、JWT 组成3、JWT 的使用方式4、JWT 的几个特点DRF中使用JWT1. 安装2. 使用 聊聊JWT 1、JWT简介 JWT 是一个开放标准(RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。它具备两个特点: 简洁(Compact) 可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小,传输速度快 自包含(S
DjangoXSS攻击与防范原理
weixin_38894162的博客
02-12 656
DjangoXSS攻击就是跨站脚本攻击,就是利用HTML对页面进行恶意的标签渲染,从而达到攻击网站的效果,更严重的情况是直接获取用户信息,对网站造成巨大损失。 只不过Django自动帮我们做了这个防护功能,我们可以不必刻意做这些保护,但是对于开发者而言,在调用或者解除这些限制的时候要注意,不要留下漏洞。 解除限制很简单,有两种方式。 一,在前端模板语言中实现,只须用到帮助函数safe.如:   ...
盘点日本人最常用50个网站(珍藏版)
热门推荐
m0_50414588的博客
01-24 594万+
1、yahoo.co.jp 日本雅虎在日本简直就是神一样的存在,发生什么突发事情,日本人第一直觉就是上日本雅虎上看看新闻。搜索的大部分也是通过日本雅虎。Google虽然也有在努力,不过,搜索方面还是日本雅虎强一些啦。 —————————————————— 2、google.co.jp Google大神的日本版网站 —————————————————— 3、google.com 其实日本人也是很喜欢学英语的…… —————————————————— 4、amazon.co.jp アマゾン在日本的物流非常强,在
收藏不看系列!7大免费资源网站,日后再也不求人
cenfeng的博客
08-07 9万+
因为之前俺写过几资源安利的文章,导致后台求资源的私信从来没断过…… 唉,谁让我宠粉呢?压箱底的良心安利来啦! 本文将涵盖影视、音乐、模板、漫画、网盘、小说、合集展开! 闲话不多侃,废话不多谈,咱们来吃够! 1、疯狂影视搜索 http://ifkdy.com/ ——超实用的影视搜索引擎 奇了怪了,这类网站竟然没有弹窗和广告,简洁到如此地步,也是神了...
7款相见恨晚的资源网站,每个都百里挑一,送给正需要的你!
夏末的博客
07-03 11万+
不知道大家在网上是怎么找资源的呢?是在网站上瞎找呢?还是利用资源网站搜索你想要的资源呢?今天在这里为大家整理的6款相见恨晚的资源网站,无论是最新电影电视剧动漫,还是PPT模板、资料、小说都可以一键帮你搞定! 自由音乐 https://www.tikitiki.cn 一款免费音乐下载网站 网站界面非常简洁,没有任何广告插入,三个平台任意切换,帮你找到你想下载的音乐,支持在线播放。 ...
6个超好用的电影网站,各种高清大片任意看,不用花钱不用注册!
视频格式转换器
12-14 37万+
想看各种大片,苦于没有会员看不了?今天小编就为大家带来6个小编机场用来看电影的电影网站;各种大片任意看!真的超级好用! 一:电影蜜蜂 各类电影任你看,不管是最新上映还是之前的老电影都可以观看,满足你的各种需求! 二:BT天堂 每天都会推送近期热门的电影,直接点击就可以观看!谁用谁知道! 三:CK电影部落 每天会总结前一天的各个电视剧和电影的热度榜,月末会出这一个月的热度榜,...
10个良心网站推荐
qiqu的博客
06-21 14万+
对效率工具感兴趣的可以看一看我的往期视频~ 10个良心网站推荐第三期 10个良心网站推荐 10个良心网站推荐第二期 av76255938 13个逆天网站工具 av70359966 10个改变生活的网站 10个改变生活的网站 本期推荐: 1.VideoFK:在线视频抓取下载工具 [https://www.videofk.com/] 2.RRYSJ:人工智能字幕听译工具 [http://www.1sj.tv/] 3.全历史:历史内容聚合网站 [https://www.allhistory.com/] 4.设计师
精通Django:Python高效Web开发框架解析
此外,Django还具有内置的安全特性,如CSRF保护和XSS防御,确保开发出的应用具有良好的安全性。 **对比无框架开发** 在没有使用框架的情况下,Web应用的开发往往涉及更多低级的编程任务,例如手动处理HTTP请求,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值