Django之CSRF 机制

最新推荐文章于 2023-08-16 11:20:10 发布
最新推荐文章于 2023-08-16 11:20:10 发布
阅读量340 收藏
点赞数
分类专栏: Python 文章标签: Django CSRF机制 CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ItJavawfc/article/details/103133821
版权

在理解Django中的CSRF机制前,可以先补一补基础知识

官网对于CSRF的说明

pythenweb 开发中的csrf机制

CSRF全称

Cross-site request forgery (CSRF)

很简单的一个知识点,就是一个跨站请求伪造保护,看一下官网对于CSRF的说明和csrf机制两篇文章对CSRF机制有个初步理解。

实战
  • CSRF机制的载体Django自带的中间件

知识点部分可能不太理解,下面直接用简单Demo来说明CSRF机制,对应上面两篇指导性文章加深理解。

Django项目中,settings.py 中有这样一段代码

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

说明CSRF是Jdango自带的一个中间件罢了,默认是打开的。

  • csrf代码演示
    在csrfmodule App中views.py 中
def login(request):
    print(request.method)
    if request.method == 'POST':
        return render(request, 'csrf_result_index.html')
    return render(request, 'test_csrf_login.html')

test_csrf_login.html代码

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>login</title>
    <link rel="stylesheet" href="/static/commons.css">
    <style>
        label {
            width: 80px;
            text-align: right;
            display: inline-block;
        }
    </style>
</head>
<body>
<form action="/csrfmodule/login/" method="post">
    <p>
        <label for="username">用户名:</label>
        <input id="username" name="user" type="text"/>
    </p>
    <p>
        <label for="password">密码:</label>
        <input id="password" name="pwd" type="password"/>
        <input type="submit" value="提交"/>
    </p>
</form>
<script src="/static/jquery3.4.1.js"></script>
</body>
</html>

csrf_result_index.html代码

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
</body>
</html>

配置csrfmodule的App中urls代码

urlpatterns = [
    path('login/', views.login),  # 分发器
]

运行Django程序

直接点击提交,理论上直接跳转到csrf_result_index.html页面的,看看实际结果。
在这里插入图片描述

先不要一脸懵逼,这就对了。

更改代码test_csrf_login.html,只需要在form标签里面加入一行代码
再次运行Django项目。
在这里插入图片描述
重点来了:看一下这个网页源代码

在form表单里面自动添加了一行隐藏的input标签。

点击提交按钮,效果如下
在这里插入图片描述
其实就是已经正确跳转了的。

👆演示的效果就是CSRF机制,能够实现跨站请求伪造保护,是一个全局性的有一定的安全机制,保护服务器安全

但是:也会有针对性的黑客进行CSRF攻击,这方面参考上面 pythenweb 开发中的csrf机制,CSRF机制也只是部分安全。

如果不想加载这个中间件,但又想用csrf功能,这个时候可以考虑另外的使用方式。注解,对部分【方法、模块】对全局都可以进行拦截。
CSRF使用,含部分拦截使用说明

文章演示代码参考

ItJavawfc
关注
专栏目录
Django_CSRF_原理分析
Golang & Python 我的最爱
09-19 2089
关于CSRFCSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。
Django 默认 CSRF 保护机制
最新发布
u010674101的专栏
06-05 760
Django 的默认 CSRF 保护机制旨在防止跨站请求伪造攻击(CSRF)。CSRF 攻击是一种恶意攻击,其中攻击者通过伪造用户的请求来执行未授权的操作。
DjangoCSRF 保护机制
weixin_34348174的博客
12-02 231
django 有多久,我跟 csrf 这个概念打交道就有久了。 每次初始化一个项目时都能看到 django.middleware.csrf.CsrfViewMiddleware 这个中间件 每次在模板里写 form 时都知道要加一个 {% csrf_token %} tag 每次发 ajax POST 请求,都需要加一个 X_CSRFTOKEN 的 header 但是一直我都是...
djangocsrf的实现机制
qq_41373975的博客
03-09 1435
1)启用中间件 2)post请求 3)验证码 4)表单中添加{% csrf_token%}标签 Django 原生支持一个简单易用的跨站请求伪造的防护。当提交一个启用CSRF 防护的POST 表单时,你必须使用上面例子中的csrf_token 模板标签。 #第一步:django第一次响应来自某个客户端的请求时,后端随机产生一个token值,把这个token保存在SESSION状态中;同时,后端把这...
Djangocsrf 的实现机制?
m0_56477185的博客
03-02 519
Django预防CSRF攻击的方法是在用户提交的表单中加入一个csrftoken的隐含值,这个值和服务器中保存的csrftoken的值相同,这样做的原理如下: 1、在用户访问django的可信站点时,django反馈给用户的表单中有一个隐含字段csrftoken,这个值是在服务器端随机生成的,每一次提交表单都会生成不同的值 2、当用户提交django的表单时,服务器校验这个表单的csrftoken是否和自己保存的一致,来判断用户的合法性 3、当用户被csrf攻击从其他站点发送精心编制的攻击请求时,由于
Djangocsrf实现机制
mache123456的博客
06-23 298
Djangocsrf实现机制
django 取消csrf限制的实例
09-17
Django框架中,CSRF(Cross-site request forgery,跨站请求伪造)是一种重要的安全机制,用于防止恶意第三方在用户浏览器中伪造请求到你的应用。然而,在某些情况下,例如前后端分离的项目或者API接口,你可能...
django-csrf使用和禁用方式
12-20
Django CSRF(跨站请求伪造)是Web应用中一种安全机制,用于防止恶意第三方伪造用户的请求。在Django框架中,CSRF保护是默认启用的,以确保只有合法的用户操作才能被执行。以下是对标题、描述和标签内容的详细解释:...
详解DjangoCSRF认证实现
09-20
Django框架内置了CSRF防护机制,通过使用CSRF中间件(CsrfViewMiddleware)来确保POST、PUT、DELETE等修改数据的请求是安全的。DjangoCSRF保护主要分为以下几个步骤: 1. **CSRF中间件**:在Django的设置文件中,...
Django——CSRF防御
小白一直白
01-28 456
关于CSRF攻击原理在上一篇博客已经有过说明,这篇主要介绍下Django关于开启CSRFCSRF工作机理。关于开启防御有两种,一种是全局开启,另一种是局部开启。 全局: 中间件 django.middleware.csrf.CsrfViewMiddleware 局部:from django.views.decorators.csrf import csrf_exempt,csrf_prot...
djangoCSRF的问题及解决
06-05
CSRF是Cross Site Request Forgery的缩写,称其为“跨站请求伪造”。常与XSS想提并论,但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以有时候被认为比XSS更具危险性。
Python web实战 | 细说 Django 的跨站点请求伪造(CSRF)保护
Saki_Python的博客
08-16 488
本文详细介绍了 Django 中的跨站点请求伪造(CSRF)保护机制。实际开发中,仅仅靠CSRF机制并不是绝对安全的,还应该结合其他安全措施,综合多种技术来确保应用程序的安全性。
Django CSRF
光明小学王小雨的博客
12-16 1903
一、CSRF攻击攻击原理及过程 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式 1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B...
Django, csrf
rcompass1107的专栏
10-14 727
I have recently updated a website from Django 1.0 to 1.3. One of the changes introduced wasautomatic protection against CSRF attacks. For the most part, this works great, but I have a problem with c
django CSRF
u014379665的专栏
03-14 356
什么是CSRF 问题是解决了,但我不禁回想为什么在Django里提交POST表单要配置那么麻烦(其实也不麻烦,但对新手来说就不一样了),于是搜索关键字看看,得知它是一种跨站请求伪造,黑客可以利用这个攻击站点。而Django里的使用这个机制就是防止CSRF模式攻击,原理大致是当你打开页面的时候产生一个csrftokey种下cookie,然后当你提交表单时会把本地cookie里的csrftoke
djangocsrf
qq_39112101的博客
07-16 310
CSRF跨域伪造攻击 使用当前浏览器还在生效状态的cookie对指定网站进行操作。最初针对的是银行网站的转账。 Django本身会对csrf进行校验,在django的1.4版本之前,csrf默认关闭,需要在settings当中手动开启,在1.4之后,默认开启。在settings.py中csrf的配置如下。 如何防止csrfdjango的任何post请求,都会在请求之初,给...
djangocsrf
Qdynasty的博客
12-21 221
djangocsrf相当于中间件,CSRF的作用则是对请求进行一次验证,目的是为用户实现防止跨站请求伪造的功能。对于django中设置防跨站请求伪造功能有分为全局和局部。 相对应的对于form表单以POST提交方式而言,需要携带csrf随机字符串才能拿通过,在html界面中需要添加这样。 &lt;form action="/add/" method="post"&gt; {% csr...
django csrf机制
weixin_42948748的博客
02-23 168
看了很多网上的csrf机制的文章,我觉得百分之99解释的都是错误的。 错误说法1:CsrfViewMiddleware中间件会把form表单的csrfmiddlewaretoken值与cookie的csrftoken字段值作比较,如果一样就表示合法。 what???我试验了一下,我不断地刷新带有form表单的页面,发现cookie的csrftoken在一段时间内并不会变,而表单的csrfmiddl...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ItJavawfc

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值