Django 防御 csrf 攻击的方式(包括ajax请求)

最新推荐文章于 2021-08-06 03:17:53 发布
最新推荐文章于 2021-08-06 03:17:53 发布
阅读量802 收藏 1
点赞数
分类专栏: 前端 文章标签: csrf django ajax
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HYESC/article/details/95348824
版权

csrf攻击简要说明:

用户A现在登录了某银行网站的官网,浏览器记录了该网站生成的记录用户信息的cookie,而后用户A点击了钓鱼网站(该网站和银行网站长的一样),该钓鱼网站内有js代码向银行官网发起转账请求,此时该请求会自动携带记录用户信息的cookie值去访问银行官网进行转账操作,银行网站的后端若没有设置csrf防御机制,仅仅验证用户是否登录,就会认为该转账操作是该用户的合法操作。如果银行网站不仅验证cookie,同时再验证一个攻击者无法获取到的值,就能防御上述漏洞。

CsrfViewMiddleware中间件

Django防御csrf攻击是通过 django.middleware.csrf.CsrfViewMiddleware 中间件实现的,当我们创建项目后,默认在settings文件内的 MIDDLEWARE 内已经开启了该中间件

防御机理:验证cookie中的csrftoken值和表单中csrfmiddlewaretoken(或ajax请求头中的X-CSRFToken参数)的值,两者里边的secret是否相同(不是完整的token值是否相同)来进行防御(这个值攻击者无法获取到)。

原因:由于浏览器同源策略的限制,钓鱼网站无法获取银行网站给用户设置的cookie,也就无法获取csrftoken值,自然就无法在form表单或ajax请求头中伪造该值,而django是要验证这两个值的secret是否是一致的

非ajax请求实现

该方法即form标签的action属性直接提交表单数据,当使用这种方式时,只需要在模板内使用 {% csrf_token %}(必须在form表单内) 即可实现防御,代码如下:

<form method="post" action="/login/">
	{% csrf_token %}
</form>

注意:在视图函数内return响应时,如果不是使用的render()函数,则需要确保 RequestContext被用于渲染模板(render函数是自带上下文管理器的),否则 {% csrf_token %} 无法正常工作

{% csrf_token %} 作用:
1、在form表单内生成一个input标签,内容为

<input type="hidden" name="csrfmiddlewaretoken" value="jojovCfhvZhhqhbVf82BkzOA9EGIgPheBt3H0obOxygwCp4NHxcZ1tjhBbPl62DE">

2、在响应中设置cookie csrftoken=dArgJ7X1ygDM2lyau37guxRkwDR1lbd3vFbzeTTyAPC1etr2WshEbrm1Ya0Ebozt

ajax请求实现

现实开发中,我们可能更多的使用ajax的方式进行请求。

ajax的方式需要在请求头上设置 X-CSRFToken 参数来记录csrftoken的值,因此问题变成了如何获取csrftoken的值。

django提供了几种方式来获取该值,首先要区分CSRF_USE_SESSIONS 是否开启,该参数表示是否将CSRF token 存储在session中而不是cookie中,一般情况下无需修改此值,默认是False。

django官方例子是从cookie中获取csrftoken。

CSRF_USE_SESSIONS 为False的情况

在此情形下,有两种方式来确保响应的cookie中有 csrftoken 这个值

1、在模板中添加  {% csrf_token %}(任意位置) ,则响应的cookie中自然会有csrftoken
2、模板中没有添加  {% csrf_token %} ,那么在视图函数上添加装饰器 `ensure_csrf_cookie`就会强制在响应头中添加 csrftoken这个cookie

从cookie中获取值的js代码

// using jQuery
function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');

或者直接使用js的Cookie库来获取

var csrftoken = Cookies.get('csrftoken');

上述仅描述从cookie中获取csrftoken,如果模板中设置了{% csrf_token %},那么无论从cookie还是dom取值都是可以的

CSRF_USE_SESSIONS 为True的情况

此种方式若要获取csrftoken,就要求必须在html中存在 csrftoken(不能在cookie中获取该值),并使用js从dom中获取该值,也就是说必须在模板中添加 {% csrf_token %}(任意位置)

{% csrf_token %}
<script type="text/javascript">
// using jQuery
var csrftoken = jQuery("[name=csrfmiddlewaretoken]").val();
</script>

在ajax请求中设置token

代码如下:

function csrfSafeMethod(method) {
    // these HTTP methods do not require CSRF protection
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
// 在jquery的每个请求发起前设置X-CSRFToken
$.ajaxSetup({
    beforeSend: function(xhr, settings) {
        if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken);
        }
    }
});

以上步骤总结起来就是:
1、获取csrftoken值(从cookie或dom中获取,给cookie中设置该值的两种方法)
2、在ajax请求头中设置X-CSRFToken记录csrftoken值
3、发起ajax请求即可

前后端完全分离开发

在此种情形下,html页面不由django渲染返回(html页面作为静态文件处理,所有数据均为异步加载),因此无法通过上述几种方式来获取csrftoken的值

通过了解CsrfViewMiddleware可知,为form表单生成csrftoken是通过get_token(request)函数实现的,源码如下:

def get_token(request):
    """
    Return the CSRF token required for a POST form. The token is an
    alphanumeric value. A new token is created if one is not already set.

    A side effect of calling this function is to make the csrf_protect
    decorator and the CsrfViewMiddleware add a CSRF cookie and a 'Vary: Cookie'
    header to the outgoing response.  For this reason, you may need to use this
    function lazily, as is done by the csrf context processor.
    """
    if "CSRF_COOKIE" not in request.META:
        csrf_secret = _get_new_csrf_string()
        request.META["CSRF_COOKIE"] = _salt_cipher_secret(csrf_secret)
    else:
        csrf_secret = _unsalt_cipher_token(request.META["CSRF_COOKIE"])
    request.META["CSRF_COOKIE_USED"] = True
    return _salt_cipher_secret(csrf_secret)

编写视图函数用来返回token值:

def get_token(request):
    token = django.middleware.csrf.get_token(request)
    return JsonResponse({'token': token})

前端代码:

var csrftoken;
$.get('/csrf_token/', function (resp) {
    csrftoken = resp.token;  // 接受上边视图函数返回的token,保存到全局变量中
    document.cookie = 'csrftoken=' + resp.token;  // token设置到cookie中
});
// 将csrftoken设置到ajax的请求头上
function csrfSafeMethod(method) {
    // these HTTP methods do not require CSRF protection
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

// 在jquery的每个请求发起前设置X-CSRFToken
$.ajaxSetup({
    beforeSend: function (xhr, settings) {
        if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken);
        }
    }
});
// 下边发起ajax请求即可

取消防御的几种手段

1、完全取消防御,直接注释掉 settings中的django.middleware.csrf.CsrfViewMiddleware即可

2、少数视图函数取消防御,使用csrf_exempt来装饰视图函数即可

3、少数视图函数需要防御,先注释掉 settings中的django.middleware.csrf.CsrfViewMiddleware,在需要防御的视图函数使用 csrf_protect装饰器即可

4、如果在CsrfViewMiddleware中间件执行之前,视图函数先执行了(如返回404,500等页面),此时仍然需要确保{% csrf_token %}能够起作用,使用requires_csrf_token装饰器

参考链接:https://docs.djangoproject.com/zh-hans/2.0/ref/csrf/

he-yin
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
154.Ajax处理csrf防御
zjy123078_zjy的博客
02-22 256
在普通的form表单采用post请求提交数据,可以在form表单的method=post的form标签下面,添加一个csrf_token标签{% csrf_token %},或者是直接手动的添加一个input标签,<input type=‘text’ name=‘csrfmiddlewaretoken value=’{{ csrf_token }}’>,都可以在form表单做好cs...
如何解决DjangoCSRF问题
谭小谭的专栏
11-28 1738
  CSRF是什么? CSRF(Cross Site Request Forgery,跨站伪造请求)。举个例子来简单介绍下。有A、B两个web网站,其A网站存在CSRF漏洞,B网站是攻击者特意设计成一个具有CSRF攻击性的网站,C为一普通用户,当用户C在浏览器登录A网站后,A网站会将用户的登录信息如cookie返回并保存在浏览器,如果用户C在浏览器再访问B网站,B网站会诱导用户C执行一个...
java ajax csrf,切记ajax要带上AntiForgeryToken防止CSRF攻击
weixin_33212486的博客
03-11 192
经常看到在项目ajax post数据到服务器不加防伪标记,造成CSRF攻击在Asp.net Mvc里加入防伪标记很简单在表单加入Html.AntiForgeryToken()即可。Html.AntiForgeryToken()会生成一对加密的字符串,分别存放在Cookies 和 input 。我们在ajax post也带上AntiForgeryToken@model WebApplicat...
DjangoCSRF攻击原理及其防御方式
Shaun_X
03-18 916
攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。
csrf攻击过程 csrf攻击说明 1.用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站
a280966503的博客
08-20 2010
csrf攻击过程 csrf攻击说明 1.用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3.用户未退出网站A之前,在同一浏览器,打开一个TAB页访问网站B; 4.网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点
csrf攻击ajax,六十六:CSRF攻击防御CSRF防御ajax防御ajax封装
weixin_39946429的博客
08-06 208
app里面还是要绑定CSRFProtectfrom flask_wtf import CSRFProtect # flask_wtf 已经提供CSRF防御手段CSRFProtect(app) # 绑定app登录页的js$(function () {$(‘#submit‘).click(function (event) {event.preventDefault(); // 阻止默认form提...
Python Django框架防御CSRF攻击的方法分析
09-18
首先,我们需要了解Django防御CSRF攻击的基本原理: 1. **生成CSRF令牌**:当Django渲染HTML模板时,它会在每个需要防护的POST表单添加一个名为`<input type="hidden" name="csrfmiddlewaretoken" value="..." />...
详解利用django间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
这样,所有后续的AJAX请求都将包含Django生成的CSRF令牌,从而确保请求的安全性。 **三、处理复杂对象的AJAX请求** 对于复杂的数据结构,如JSON对象,你应该将其转换为JSON格式发送到后端。例如,一个包含多个对象...
djangocsrf实现过程详解
09-18
当用户提交表单或者发起Ajax请求时,这个令牌会被包含在POST请求一起发送到服务器。服务器端的Django会检查POST请求包含的CSRF令牌是否与cookie存储的令牌匹配,只有匹配成功后才会处理请求。如果CSRF令牌不...
Django——CSRF权限认证处理
胖大xian
02-08 618
CSRF权限认证 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 一、简单说明csrf如何操作 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经
安全开发 | 如何让Django框架CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。 教你如何在AJAX请求上设置令牌。
网络攻防比赛平台源码(AWD-platform源码).7z
06-19
一个awd攻防比赛的裁判平台。 版本:beta v2.0 开发语言:python3 + django 平台分为两个部分 裁判机 靶机 通过特定接口,来实现靶机flag与服务器的通信 搭建流程 裁判机 安装所需环境 裁判机:python3+django 全局搜索woshiguanliyuan,并修改为随机字符串,此处为管理平台地址 /untitled/urls.py path('woshiguanliyuan/',views.admin,name='admin'), path('woshiguanliyuan/table/',views.admin_table,name='admin_table'), /app/views.py if 'woshiguanliyuan' not in request.META['HTTP_REFERER']: 第31和47换为你的目录 列:("/var/www/awd_platform/app/qwe.txt","a") 修改app/management/commands/init.py,添加用户 #['用户名','用户靶机token','用户靶机token'] user=[ ['123456','FF9C92C7SDFABB71566F73422C','FF9C92C7SDFABB71566F73422C'], ['aaabbb','311F8A54SV9K6B5FF4EAB20536','311F8A54SV9K6B5FF4EAB20536'] ] 修改/app/views.py第行d89f33b18ba2a74cd38499e587cb9dcd为靶机设置的admin_token值的md5 if('d89f33b18ba2a74cd38499e587cb9dcd'==hl.hexdigest()): 运行 python3 manage.py init python3 manage.py manage.py runserver --insecure 靶机 安装所需环境 靶机:python+requests 修改send_flag.py参数,并将其放入靶机,设权限700。 靶机 sudo python send_flag.py。 靶机生成flag脚本,send_flag.py import requests import time import random import string import hashlib token='woshiwuxudong' # 红队 baji='311F8A54SV9K6B5FF4EAB20536' def getFlag(): #return ''.join(random.sample(string.ascii_letters + string.digits, 48)) m = hashlib.md5(''.join(random.sample(string.ascii_letters + string.digits, 48)).encode(encoding="utf-8")).hexdigest() return m while(1): f=open('/flag','w') flag=getFlag() f.write(flag) data={ 'flag':flag, 'token':token, 'baji':baji, } r=requests.post('http://127.0.0.1/caipanflag/',data=data) print(r.text) f.close() time.sleep(300) 重要须知 更新作者基础上: 1.增加flag验证一次性失效性,使得每个用户都并且仅可以提交一次flag 2.增加排名情况 3.flag改为MD5 4.增加丢失flag一轮扣100分
csrf攻击ajax,如何在使用ajax post时处理CSRF攻击
weixin_30863465的博客
08-06 144
我基本上想做一个ajax post来发送一些stateId并从那个状态取回一些城市列表。如何在使用ajax post时处理CSRF攻击?@Html.DropDownList("states", (SelectList)ViewBag.States)@Html.AntiForgeryToken()我不喜欢这样的要求:function PopulateTable() {var x=$("#frmAj...
ASP.NET MVC4/5 - Ajax 防止 CSRF攻击
weixin_30660027的博客
12-24 248
前言 CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。本文使用ASP.NET MVC提供的AntiForgery进行安全验证 应用 一、自定义FilterAttribute过滤器 1 /// <summary&...
Django的POST请求时因为开启防止csrf,报403错误,及四种解决方法
weixin_34050519的博客
09-29 1629
Django默认开启防止csrf(跨站点请求伪造)攻击,在post请求时,没有上传csrf字段,导致校验失败,报403错误 解决方法1: 注释掉此段代码,即可。 缺点:导致Django项目完全无法防止csrf攻击 解决方法2: 在views.py文件 #导入,可以使此次请求忽略csrf校验 from django.views.decorators.csrf import...
csrf攻击ajax,使用ajax帖子时如何处理CSRF攻击
weixin_33654339的博客
08-06 236
我基本上想要发一个ajax帖子来发送一些stateId并从该州获回一些城市列表。@Html.DropDownList("states", (SelectList)ViewBag.States)@Html.AntiForgeryToken()我这样做的请求是:function PopulateTable() {var x=$("#frmAjax").serialize();$.ajax({url: ...
django csrf攻击 ajax发送请求带上csrftoken 200318
鲸鱼编程-python全栈
03-25 128
js文件 ajax请求
django 常见web攻击防范
Hayley-L
07-02 1310
from 慕课实战-强力Django+杀手级Xadmin打造在线教育平台 sql注入攻击防范 sql注入的危害 非法读取、篡改、删除数据库的数据 盗取用户的各类敏感信息,获取利益 通过修改数据库来修改网页上的内容 注入木马等 在参数加入sql语句,没有对输入做安全性验证。 如在用户登录界面输入用户名:’ OR 1=1# 密码:任意输入 发现可以获取到我们数据库里面的用...
ajax请求 两种csrftoken的发送方法
weixin_30612769的博客
12-16 149
通过ajax方式发送两个数据进行加法运算 html页面 <body> <h3>index页面 </h3> <input type="text" name="cal_1">+ <input type="text" name="cal_2">= <input type="text" name="cal_3">...
Django实施CSRF防御策略详解
以下是在Django预防CSRF攻击的关键步骤和实践: 1. **在响应设置CSRF Token**: 当客户端尝试与后端交互时,后端会在HTTP响应头或cookie附带一个名为`csrftoken`或`CSRFToken`的随机令牌。这个token是一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值