csrf攻击简要说明:
用户A现在登录了某银行网站的官网,浏览器记录了该网站生成的记录用户信息的cookie,而后用户A点击了钓鱼网站(该网站和银行网站长的一样),该钓鱼网站内有js代码向银行官网发起转账请求,此时该请求会自动携带记录用户信息的cookie值去访问银行官网进行转账操作,银行网站的后端若没有设置csrf防御机制,仅仅验证用户是否登录,就会认为该转账操作是该用户的合法操作。如果银行网站不仅验证cookie,同时再验证一个攻击者无法获取到的值,就能防御上述漏洞。
CsrfViewMiddleware中间件
Django防御csrf攻击是通过 django.middleware.csrf.CsrfViewMiddleware
中间件实现的,当我们创建项目后,默认在settings
文件内的 MIDDLEWARE
内已经开启了该中间件
防御机理:验证cookie中的csrftoken
值和表单中csrfmiddlewaretoken
(或ajax请求头中的X-CSRFToken参数)的值,两者里边的secret是否相同(不是完整的token值是否相同)来进行防御(这个值攻击者无法获取到)。
原因:由于浏览器同源策略的限制,钓鱼网站无法获取银行网站给用户设置的cookie,也就无法获取csrftoken值,自然就无法在form表单或ajax请求头中伪造该值,而django是要验证这两个值的secret是否是一致的
非ajax请求实现
该方法即form标签的action属性直接提交表单数据,当使用这种方式时,只需要在模板内使用 {% csrf_token %}
(必须在form表单内) 即可实现防御,代码如下:
<form method="post" action="/login/">
{% csrf_token %}
</form>
注意:在视图函数内return响应时,如果不是使用的render()函数,则需要确保 RequestContext
被用于渲染模板(render函数是自带上下文管理器的),否则 {% csrf_token %}
无法正常工作
{% csrf_token %}
作用:
1、在form表单内生成一个input标签,内容为
<input type="hidden" name="csrfmiddlewaretoken" value="jojovCfhvZhhqhbVf82BkzOA9EGIgPheBt3H0obOxygwCp4NHxcZ1tjhBbPl62DE">
2、在响应中设置cookie csrftoken=dArgJ7X1ygDM2lyau37guxRkwDR1lbd3vFbzeTTyAPC1etr2WshEbrm1Ya0Ebozt
ajax请求实现
现实开发中,我们可能更多的使用ajax的方式进行请求。
ajax的方式需要在请求头上设置 X-CSRFToken
参数来记录csrftoken的值,因此问题变成了如何获取csrftoken的值。
django提供了几种方式来获取该值,首先要区分CSRF_USE_SESSIONS
是否开启,该参数表示是否将CSRF token 存储在session中而不是cookie中,一般情况下无需修改此值,默认是False。
django官方例子是从cookie中获取csrftoken。
CSRF_USE_SESSIONS 为False的情况
在此情形下,有两种方式来确保响应的cookie中有 csrftoken 这个值
1、在模板中添加 {% csrf_token %}(任意位置) ,则响应的cookie中自然会有csrftoken
2、模板中没有添加 {% csrf_token %} ,那么在视图函数上添加装饰器 `ensure_csrf_cookie`就会强制在响应头中添加 csrftoken这个cookie
从cookie中获取值的js代码
// using jQuery
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie !== '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) === (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
var csrftoken = getCookie('csrftoken');
或者直接使用js的Cookie库来获取
var csrftoken = Cookies.get('csrftoken');
上述仅描述从cookie中获取csrftoken,如果模板中设置了{% csrf_token %}
,那么无论从cookie还是dom取值都是可以的
CSRF_USE_SESSIONS 为True的情况
此种方式若要获取csrftoken,就要求必须在html中存在 csrftoken(不能在cookie中获取该值),并使用js从dom中获取该值,也就是说必须在模板中添加 {% csrf_token %}(任意位置)
{% csrf_token %}
<script type="text/javascript">
// using jQuery
var csrftoken = jQuery("[name=csrfmiddlewaretoken]").val();
</script>
在ajax请求中设置token
代码如下:
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
// 在jquery的每个请求发起前设置X-CSRFToken
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});
以上步骤总结起来就是:
1、获取csrftoken值(从cookie或dom中获取,给cookie中设置该值的两种方法)
2、在ajax请求头中设置X-CSRFToken
记录csrftoken值
3、发起ajax请求即可
前后端完全分离开发
在此种情形下,html页面不由django渲染返回(html页面作为静态文件处理,所有数据均为异步加载),因此无法通过上述几种方式来获取csrftoken的值
通过了解CsrfViewMiddleware
可知,为form表单生成csrftoken是通过get_token(request)
函数实现的,源码如下:
def get_token(request):
"""
Return the CSRF token required for a POST form. The token is an
alphanumeric value. A new token is created if one is not already set.
A side effect of calling this function is to make the csrf_protect
decorator and the CsrfViewMiddleware add a CSRF cookie and a 'Vary: Cookie'
header to the outgoing response. For this reason, you may need to use this
function lazily, as is done by the csrf context processor.
"""
if "CSRF_COOKIE" not in request.META:
csrf_secret = _get_new_csrf_string()
request.META["CSRF_COOKIE"] = _salt_cipher_secret(csrf_secret)
else:
csrf_secret = _unsalt_cipher_token(request.META["CSRF_COOKIE"])
request.META["CSRF_COOKIE_USED"] = True
return _salt_cipher_secret(csrf_secret)
编写视图函数用来返回token值:
def get_token(request):
token = django.middleware.csrf.get_token(request)
return JsonResponse({'token': token})
前端代码:
var csrftoken;
$.get('/csrf_token/', function (resp) {
csrftoken = resp.token; // 接受上边视图函数返回的token,保存到全局变量中
document.cookie = 'csrftoken=' + resp.token; // token设置到cookie中
});
// 将csrftoken设置到ajax的请求头上
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
// 在jquery的每个请求发起前设置X-CSRFToken
$.ajaxSetup({
beforeSend: function (xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});
// 下边发起ajax请求即可
取消防御的几种手段
1、完全取消防御,直接注释掉 settings
中的django.middleware.csrf.CsrfViewMiddleware
即可
2、少数视图函数取消防御,使用csrf_exempt
来装饰视图函数即可
3、少数视图函数需要防御,先注释掉 settings
中的django.middleware.csrf.CsrfViewMiddleware
,在需要防御的视图函数使用 csrf_protect
装饰器即可
4、如果在CsrfViewMiddleware
中间件执行之前,视图函数先执行了(如返回404,500等页面),此时仍然需要确保{% csrf_token %}能够起作用,使用requires_csrf_token
装饰器