Django | 从中间件的角度理解跨站请求伪造(Cross-Site Request Forgey)[CSRF攻击]

于 2024-08-14 22:18:00 发布
阅读量172 收藏 3
点赞数 3
分类专栏: Web 文章标签: django 中间件 csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HG0724/article/details/141201339
版权

文章目录

切入点

某些恶意网站上包含链接、表单按钮或者]avaScript,它们会利用登录过的用户在浏览器中的认证信息试图在你的网站上完成某些操作
在这里插入图片描述

  • Gjango如何做?

存储暗号:html页面一个 ||| COOKIE 一个
Django在一定的运算下比对两个暗号 是一致的 就不会发生403错

我们通过一个案例来理解

案例测试

确保CSRF中间件功能已经启动
在这里插入图片描述

views.py测试代码

def test_csrf(request):
    if request.method == 'GET':
        return render(request, 'test_csrf.html')
    elif request.method == 'POST':
        return HttpResponse('---test post is ok---')

templates模板下的html文件

  • 注意此时 html没有暗号
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>test_csrf</title>
</head>
<body>

    <form action="/test_csrf" method="post">

        <input type="text"  name="username">
        <input type="submit"  value="提交">

    </form>
</body>
</html>

配置路由

path(‘test_csrf’,views.test_csrf),

运行服务 出现CSRF报错

python manage.py runserver

  • 网页查看
    在这里插入图片描述
    网页报错403,CSRF验证失败,同时给出了我们具体的解决方案

解决CRSF报错

  • html添加暗号
    <form action="/test_csrf" method="post">
        {% csrf_token %}   
        <input type="text"  name="username">
        <input type="submit"  value="提交">

    </form>

{% csrf_token %}是CRSF能否验证通过 的关键

再次运行服务 查看结果

  • 检查查看cookie
    在这里插入图片描述
  • 查看html界面源码
    在这里插入图片描述
    出现暗号 但是隐藏了
    到这里,你应该进一步理解了CSRF攻击的原理了吧
胜天半月子
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Django - CSRF(Cross-site request forgery 跨站请求伪造
LIN的博客
11-23 360
目录 一、CSRF(Cross-site request forgery 跨站请求伪造) 1-1 CSRF 攻击原理 1-3 CSRF 攻击防范方式(主流的三种策略)  1-3-1 验证HTTP Referer 字段 1-3-2 在请求地址中添加token并验证 1-3-3 在 HTTP 头中自定义属性并验证  二、 Django中的CSRF防范 - 中间件csrf_token的使用...
浅谈DjangoCSRF(Cross-site request forgery)跨站请求伪造
Onion_cy的博客
01-22 403
目录 一 CSRF是什么 二 CSRF攻击原理 三 CSRF攻击防范 简介          原理          通过form表单提交 通过ajax提交 总结 一 CSRF是什么 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对...
Django中间件csrf跨站请求伪造
weixin_46407419的博客
03-10 301
csrf跨站请求伪造 CSRF(Cross Site Request Forgery) 跨站请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。如果从名字你还不不知道它表示什么,你可以这样理解攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私...
Django 中防范 CSRF 跨站请求伪造攻击步骤详解
Nick.Peng's Blogs
09-13 656
CSRF 概念: CSRF跨站请求伪造(Cross—Site Request Forgery)。 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 CSRF 攻击原理以及过程: 1、用户C打开浏览器,访问受信任网站A,输入...
django中间件CSRF跨站请求伪造-68
weixin_33827965的博客
12-27 91
django中间件CSRF跨站请求伪造-68 目录 一.中间件 二.中间件用途 三.中间件方法 四.自定义中间件 process_view process_exception process_template_response 五.CSRF_TIKEN跨站请求伪造 六.局部禁用和使用csrf 一....
Django中如何防范CSRF跨站请求伪造攻击的实现
09-19
CSRF(Cross-Site Request Forgery,跨站请求伪造),是一种常见的安全攻击手段。在这种攻击中,攻击者利用受害者的身份(通常是通过受害者已登录状态下的Cookies)发起恶意请求。这些请求对于服务器而言是合法的,...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者诱使用户在当前已登录的Web应用程序上执行非本意的操作。这种攻击通常通过伪装成用户的合法请求来实现,比如通过恶意链接、电子邮件或...
Python Django框架防御CSRF攻击的方法分析
09-18
在Python的Web开发框架Django中,CSRF(Cross-site request forgery,跨站请求伪造)是一种常见的安全威胁,它允许攻击者通过受害者在已登录的网站上的合法身份执行恶意操作。为了保护用户免受此类攻击Django提供...
Python库 | django_request_token-0.14.1-py3-none-any.whl
02-16
在Web应用中,请求令牌通常用于防止跨站请求伪造(Cross-Site Request Forgery,CSRF攻击CSRF攻击是一种恶意用户利用受害者的身份执行非期望操作的攻击方式,例如在受害者不知情的情况下进行转账或修改设置。 `...
详解DjangoCSRF认证实现
09-20
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击手段,攻击者通过让用户在不知情的情况下发起对受信任网站的恶意请求,利用已登录用户的身份执行非授权的操作。这种攻击通常发生在用户已经登录目标...
基于django+vue+uniapp的傣族节日及民间故事推广小程序
老卓爱爪哇 的博客
08-10 1178
傣族节日及民间故事推广小程序是在的数据存储主要通过MySQL。用户在使用应用时产生的数据通过Python语言传递给数据库。通过此方式促进傣族节日及民间故事推广信息流动和数据传输效率,提供一个内容丰富、功能多样、易于操作的平台。述了数据库的设计,系统的详细设计部分主要论述了几个主要模块的详细设计过程。
Django后端通过python获取和修改url参数
最新发布
weixin_43631940的博客
08-13 256
Django后端通过python获取和修改url参数
Django 自定义用户 VS 用户资料
weixin_44617651的博客
08-09 607
Django是一个流行的Web框架,它提供了一套完整的用户认证系统,其中包括内置的User模型用于存储基本的用户信息,如用户名、密码等。然而,如果我们需要更详细的用户资料管理,比如添加更多的字段或者自定义验证规则,Django允许我们自定义用户模型。
Django数据库多对多
weixin_43631940的博客
08-13 380
Django models 通过ManyToManyField字段,实现数据库多对多关联
使用WSGI部署Django的几种方式
u011089760的博客
08-13 583
使用WSGI部署Django的几种方式,包括gunicorn托管,uWSGI托管和使用Apache的mod_wsgi托管方式介绍
Django数据库一对多字段
weixin_43631940的博客
08-13 170
Django 通过ForeignKey实现数据库一对多
Django 安装指南
lly202406的博客
08-10 429
安装 Django 是开始使用这个强大 Web 框架的第一步。本指南提供了在 Windows、macOS 和 Linux 上安装 Django 的详细步骤。一旦安装完成,您就可以开始创建和开发自己的 Django 项目了。
Django基础知识
Martin-share的博客
08-07 638
Django搭建网站
Django 实现连续请求
forevercui的博客
08-06 497
背景:使用django+apscheduler实现定时任务,现在创建任务以及启动任务为两个接口,基于类。创作灵感:工作中,前端因为某些原因(极其特殊)无法发送两个请求,需要后端实现。现在由于前端无法发送两个请求,只能后端来操作;第一次见到这种需求,全都仰仗我们前端。调用了启动方法,将所需参数传输过来即可。
Django中的CSRF(跨站请求伪造)
05-19
CSRF(Cross-Site Request Forgery)即跨站请求伪造,是一种常见的Web攻击方式。攻击者通过伪造用户的请求,来实现恶意操作,例如:以用户的名义发帖、发私信、盗取用户信息等。Django中提供了内置的CSRF防护机制,来保护应用程序免受此类攻击Django中的CSRF防护机制是通过在表单中添加一个CSRF令牌来实现的。这个令牌会在服务器端生成,并在表单中作为隐藏字段传递给客户端。当表单被提交时,服务器会验证这个令牌是否合法,如果不合法则拒绝请求。 在Django中开启CSRF防护机制非常简单,只需要在模板中添加`{% csrf_token %}`标签即可。例如: ```html <form method="post"> {% csrf_token %} <!-- 表单内容 --> <input type="submit" value="提交"> </form> ``` 在处理POST请求的视图函数中,如果需要访问POST数据,则需要使用`django.views.decorators.csrf.csrf_protect`装饰器来保护视图函数。例如: ```python from django.views.decorators.csrf import csrf_protect @csrf_protect def my_view(request): if request.method == 'POST': # 处理POST请求 else: # 处理GET请求 ``` 如果需要在某个视图函数中关闭CSRF防护机制,可以使用`django.views.decorators.csrf.csrf_exempt`装饰器来取消保护。例如: ```python from django.views.decorators.csrf import csrf_exempt @csrf_exempt def my_view(request): # 处理请求 ``` 总之,DjangoCSRF防护机制可以有效地保护应用程序免受跨站请求伪造攻击。如果你的应用程序涉及到敏感数据或者操作,一定要开启CSRF防护机制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

胜天半月子

打不打商的无所谓,能帮到你就好

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值