开启CSRF防跨站点攻击

最新推荐文章于 2024-05-04 10:59:12 发布
最新推荐文章于 2024-05-04 10:59:12 发布
阅读量498 收藏 1
点赞数
分类专栏: python之django

开启CSRF防跨站点攻击

 
首先在settings.py的MIDDLEWARE_CLASSES开启相关中间件, 默认已开启 
MIDDLEWARE_CLASSES = (
    'django.middleware.common.CommonMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware', 
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    # Uncomment the next line for simple clickjacking protection:
     'django.middleware.clickjacking.XFrameOptionsMiddleware',
)

然后在各种模板的<form>后面加入
{% csrf_token %}


第一种方法:

然后在views.py的相关render_to_response中添加 context_instance=RequestContext(request),当然,要先导入相关库:
from django.template import RequestContext

具体用法,请看下面代码部分


相关代码如下:
views.py 
def useradd(request):
    '''添加用户'''
    username = request.session.get('username',None)
    userpermissions = User.objects.get(name = username).permissions
    departments = Department.objects.all()
    usergroups = Usergroup.objects.all()
    if request.method == "POST":
        fr = UserForm(request.POST)
        if fr.is_valid():
            User.objects.create(
            user = fr.cleaned_data['user'],
            passwd = fr.cleaned_data['passwd'],
            name = fr.cleaned_data['name'],
            post = request.POST.get(u'select1'),
            phone = fr.cleaned_data['phone'],
            email = fr.cleaned_data['email'],
            qq = fr.cleaned_data['qq'],
            permissions = request.POST.get(u'select2','-1'), #使用此request后,在forms.py中,不可出现此字段,否则会出错
            )
            msg = '用户添加成功!'
            return render_to_response('msg.html',locals(),context_instance=RequestContext(request)) #跳转到msg.html页面中,并传递msg变量过去
    else:
        fr = UserForm()
    return render_to_response('useradd.html',locals(),context_instance=RequestContext(request))

模板: 
<form action="" method="post">{% csrf_token %} 
        <table>
            <tr>
                <td width="70px">帐号:</td>
                <td >{{ fr.user }} </td>
            </tr>
            <tr>
                <td width="70px">姓名:</td>
                <td >{{ fr.name }} </td>
            </tr>

其实刚才那{% csrf_token %} 代码,无非就是在form中加入隐藏的value,然后中间件'django.middleware.csrf.CsrfViewMiddleware',
在后台对这个KEY进行验证,如果验证一致,就通过,不一致就排错,这样可以防止跨站点攻击了,如下图所示

第二种方法

在views.py中使用render,如:

注意最后一行的区别:return render(request,'host.html',locals())

from django.shortcuts import render
def host(request):
    username = request.session.get('username',None) #获取登陆的用户名
    if username != None: #假如username 不等于 none,即是用户处于登陆状态,则执行下面的请求权限的语句,如果没有登陆,则不请求权限
        userpermissions = User.objects.get(name = username).permissions #获取登陆的用户权限
    else:
        return HttpResponseRedirect('/login.html') #如果用户没有登陆此系统,则跳转到登陆页
    iplist = IP.objects.all() #获取所有的IP信息,最后通过下面代码发送前端,端用for把这些信息遍历出来
    return render(request,'host.html',locals())
KISSING_hu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF攻击原理与防御方法
墨痕诉清风的博客
02-25 4594
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
如何使用 Apache APISIX CSRF 安全插件拦截跨站点伪造攻击
ApacheAPISIX的博客
02-23 879
本文详细描述了 csrf 插件的工作方式以及使用方法,希望通过本文可以让大家对在 Apache APISIX 中使用插件拦截 CSRF 攻击有更清晰的认识,方便在实际场景中应用。
16. CSRF介绍和配置
细致-专业-实操
02-28 670
CSRF 攻击 CRSF: 跨站伪造请求攻击,某些恶意网站上包含连接、表单或者js,会利用登录过的用户在浏览器中认证信息视图在你的网站上完成某些操作。 CSRF 防范: django采用 对比安好机制防范攻击 cookies中存储暗号1,模板中表单藏着暗号2 ,用户只有在本网站下提交数据,暗号2才会随表单提交给服务器,django对比两个暗号,对比成功,认为合法请求,否则是违法请求返回403 ,x_16) CSRF 配置 方法一: settings注释 django.middleware.csrf.Csrf
CSRF攻击实例-CMS(1),2024年最新算法+分布式+微服务
m0_60567796的博客
04-17 298
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。这种方式创建的效果不是特别好。因篇幅有限,仅展示部分资料。POST 方式提交表单。
【基本功】 前端安全系列之二:如何防止CSRF攻击
美团技术团队
10-11 3640
总第290篇2018年 第82篇当当当当,我是美团技术团队的程序员鼓励师美美~“基本功”专栏又来新文章了,本篇是我们前端安全系列文章的第二篇,主要聊聊前端开发过程中遇到的...
【Web安全】CSRF 攻击 (最新解决方案)
Rei的博客
08-24 1235
前言 全称跨站请求伪造(Cross site request forgery), 尽管它听起来与XSS(跨站脚本攻击),但它与XSS非常不同。 然而事实是,CSRF与XSS具有很大的相似性和关联性。 一句话来说,就是可以利用某站点存在的XSS漏洞来进行CSRF攻击CSRF的核心过程: 攻击者利用站点B的XSS漏洞上传了恶意脚本,用户进入站点B时脚本执行,脚本内容是:向用户经常浏览的网...
CSRF攻击原理及防御
weixin_30485799的博客
03-22 426
一、CSRF攻击原理   CSRF是什么呢?CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRF比XSS更具危险性。想要深入理解CSRF攻击特性我们有必要了解一下网站session的工作原理。  session我想大家都不陌生,无论你用.net或PHP开发过网站的都肯定用过session对象,然而session它是如何工作的呢?如...
Shiro开启CSRF表单防护
12-08
CSRF(Cross-Site Request Forgery,跨站点请求伪造)是一种常见的 web 攻击方式,攻击者可以盗用用户的身份,以用户的名义发送恶意请求,对服务器来说这个请求是完全合法的,但却完成了攻击者所期望的一个操作。...
security-csrf:Security CSRF(跨站点请求伪造)组件提供了一个CsrfTokenManager类,用于生成和验证CSRF令牌
02-05
CSRF(跨站请求伪造,Cross-Site Request Forgery)是一种网络攻击手段,攻击者通过诱导用户执行非预期的操作,来利用用户在某个网站上的已登录状态,从而达到恶意目的。在Web应用开发中,Symfony Security组件是...
最新【Django网络安全】如何正确防护CSRF站点请求伪造_drf csrf
最新发布
2401_84281748的博客
05-04 906
CsrfViewMiddleware中间件使用的情况下,通过中间件的process_request方法获取请求cookie中的csrftoken,通过process_view获取post、put、delete请求cookie中的csrftoken和表单中的csrfmiddlewaretoken并进行校验(不通过就是403),通过process_response设置cookie的csrftoken参数(需要登录)。主要是CSRF_USE_SESSIONS 和 CSRF_COOKIE_HTTPONLY参数。
站点请求伪造(CSRF
onion的博客
09-07 746
是什么?   CSRF攻击指诱使用户访问伪造的页面,然后以该用户身份在第三方站点执行一次操作,CSRF攻击是利用用户身份操作用户账户的一种攻击方式。 怎么办? 验证码:CSRF攻击的过程,往往是在用户不知情的情况下构造了网络请求。验证码则强制用户必须与应用进行交互,才能完成最终请求。因此在通常情况下,验证码能够很好地遏制CSRF攻击,但该防御方式用户体验较差; Referer Check防盗链:可...
CSRF 漏洞原理详解及防御方法
weixin_30248399的博客
08-09 2435
跨站请求伪造:攻击者可以劫持其他用户进行的一些请求,利用用户身份进行恶意操作。 例如:请求http://x.com/del.php?id=1 是一个删除ID为1的账号,但是只有管理员才可以操作,如果攻击者把这个页面嵌套到其他网站中<img src= “http://x.com/del.php?id=1”> 再把这个页面发送给管理员,只要管理员打开这个页面,同时浏览器也会利用当前登陆...
CSRF解决方案 (跨网站请求伪造攻击)
futureXgm的博客
10-12 3574
区别: XSS攻击站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站.攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,发表评论,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 攻击方法: CSRF的主要手法是利用跨站请求,在用户不知情的情况下,以用户的身份伪造请求。其核...
CSRFTester 1.0测试工具
ji823600977的博客
02-07 4961
下载地址:https://www.owasp.org/images/0/08/CSRFTester-1.0.zip
针对 CSRF 漏洞的防范 [c#,html,webform,mvc,,app api]
FeelUps--The more U Give,The More U Have
03-13 6894
最近帮别人“擦屁股”,做了全局CSRF漏洞修复,针对各种表单,作如下分享(html 为通用方法): ############################# 1.webform 这种情况只需加载一个DLL(),配置web.config即可。 //iis6 //iis7 ################
分布式基础-常见攻击技术与加密技术
BoringError的博客
03-19 1413
文章目录一.Web攻击技术1.DDos攻击2.XSS攻击3.SQL注入攻击4.CSRF攻击二.信息加密技术1.单向散列加密2.对称加密3.非对称加密4.密钥管理5.加密技术在HTTPS中的应用三.信息过滤技术1.文本匹配2.分类算法3.黑名单 本文主要参考自《大型网站技术架构:核心原理与案例分析》一书第八章节和其他网络文章,如有遗漏或错误,还望海涵并指出。谢谢! 这个世界没有绝对的安全,正如...
CSRF 攻击的应对之道
sarck3的专栏
02-12 1067
简介: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSRF 的安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性,然后就目前常用的几种防御方法进行分析
防止跨站攻击——CSRFToken
热门推荐
guodejie的博客
06-22 1万+
怎么防止跨站攻击:表单:在 Form 表单中添加一个隐藏的的字段,值是 csrf_token。非表单:在ajax获取数据时,添加headers:{ 'X-CSRFToken':getCookie('csrf_token') }。原理:在浏览器访问网站A时,网站A设置cookie会增加随机值csrf_token,这个值是随机的。返回给浏览器时,cookie会储存在浏览器,同时会把csrf_token...
CSRF攻击详解与防御策略
CSRF全称为跨站请求伪造(Cross-Site Request Forgery),这是一种网络攻击手段,攻击者利用受害者的已登录状态,伪造受害者的身份,执行未经授权的操作,通常在用户不知情的情况下进行。CSRF的原理主要基于HTTP协议中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值