关于前后端分离项目中CSRF等一系列问题的理解小结

已于 2023-07-07 23:33:26 修改
阅读量686 收藏 1
点赞数 1
分类专栏: 网站搭建 文章标签: csrf 前端
于 2023-07-06 00:59:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MSB4011/article/details/131565935
版权

最近陆陆续续的在学习前后端分离的知识,期望通过这个方式了解前后端各自的技术栈以及前后端交互的具体实现方式,经过自己挑选,最终选择了Vue+django的技术栈,而在实现Vue和django交互的过程中,遇到的第一个问题就是CSRF的问题,为了理解和解决这个问题,自己查询了很多博主的资料,又引出了CORS的问题,这两个问题交织在一起比较繁琐,特此在这里将自己的理解进行一个总结

一、问题的起因

问题的起因:希望在Vue上实现的表单能够通过post请求将数据发送到服务端,例如登录信息等等,为了功能的安全考虑(包括也为了尝试理解CSRF的逻辑),决定在保留django自带的csrf功能的前提下实现相关功能,进而引出一系列问题

二、尝试使用CSRF防御功能引入的问题汇总

1. CSRF Token生成问题

要引入CSRF功能,需要在前端使用get请求第一次访问服务端时生成相关的Token,关于这个生成方法网上有很多文章,但是自己试用下来并不能正常运行,最后不断尝试,总算发现了如下的方式,即,在服务端处理get请求的View函数中,主动的获取token:

from django.http import HttpResponse
from django.middleware.csrf import get_token
 
 
def index(request):
    if request.method == "GET":
        get_token(request)
        resp = HttpResponse('[Get Request]Hello from MSB4011')
        return resp

通过这种方式,当前端请求服务端的这个接口是,服务端将自动返回csrftoken并且储存在cookies中,这样前端就可以获得对应的token,并在后续的post请求中加入'X-CSRFTOKEN': csrftoken来完成相关的认证。需要注意的是,get_token函数本身返回的token并不是标准的csrftoken,而是经过加密计算的,因此很多网络博客写到的用一个变量获取get_token的返回,在通过response的方式返回给前端的逻辑应该是行不通的,不信可以看csrf库里面的代码:

def get_token(request):
    """
    Return the CSRF token required for a POST form. The token is an
    alphanumeric value. A new token is created if one is not already set.

    A side effect of calling this function is to make the csrf_protect
    decorator and the CsrfViewMiddleware add a CSRF cookie and a 'Vary: Cookie'
    header to the outgoing response.  For this reason, you may need to use this
    function lazily, as is done by the csrf context processor.
    """
    if "CSRF_COOKIE" in request.META:
        csrf_secret = request.META["CSRF_COOKIE"]
        # Since the cookie is being used, flag to sen
最低0.47元/天 解锁文章
MSB4011
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前后端分离解决CSRF问题
ws_flying的博客
10-22 3162
个人记录,如有错误,敬请指出 项目环境:spring boot+shiro+jwt 简单方式直接通过nginx对Referer进行校验拦截即可,本文不做讲解 1、创建CsrfFilter import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.ht
vue读取django接口_使用Django做后端,vue-cli前端开发时的csrf问题解决方式
weixin_30898967的博客
02-02 903
搞web开发的朋友应该对csrf并不陌生,此处也不在累述它的具体机制,以为在前后端未分离时通常后端框架会自动处理这个问题,只需要简单的将之开启即可。在之前的一段时间里,其实也并没有做前后端完全分离的项目,大部分时候仍然会使用django一类的web框架请求页面,前后端的开发分离,后端对于页面来说只是做个承载页面请求的工具,开发前端代码时通常使用gulp+webpack进行解析和打包,后端服务开启后...
CSRF攻击及防止
zhangmoyan9527的博客
08-14 1042
  CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。   CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证   防止 CSRF 攻...
vue-csrf:一个Vue.js插件,用于获取CSRF令牌
05-25
vue-csrf 一个Vue.js插件,用于获取CSRF令牌 安装 yarn add vue-csrf 或者 npm install vue-csrf --save 用法 进口包装 import VueCsrf from 'vue-csrf' ; Vue . use ( VueCsrf ) ; 或带有选项 import VueCsrf from 'vue-csrf' ; Vue . use ( VueCsrf , { selector : 'meta[name="csrf-token"]' , // selector of csrf element with csrf-token value attribute : 'content' , //attribute of csrf-token element } ) ; 然后您可以通过下一个命令获取csrf令牌
【深入浅出 Spring Security(八)】前后端分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 3420
前后端分离使用 CSRF 漏洞保护,首先是得从 Cookie 获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数或者请求头配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
ajax token 后发先至,CSRF - 先后端分离后带来的新问题
weixin_35968572的博客
08-06 281
CSRF 的传统修复方式几天前,在阅读一篇极为专业的渗透测试报告时,发现了安全人员汇报了一个严重又常见的问题CSRF 跨站请求伪造,诚然因为开发者的疏忽,产生 CSRF问题的确比较严重,好在发现的早咱们能够尽早修复。安全人员是这样建议的:javascriptThe application should implement anti-CSRF tokens into all requests ...
解决django前后端分离csrf验证的问题
09-19
前后端分离的Web开发模式下,Django的CSRF(Cross Site Request Forgery,跨站请求伪造)保护机制可能会引发问题,因为它主要是为传统的基于表单的提交设计的。然而,现代应用往往使用Ajax进行异步通信,这就需要...
layui+thinkphp前后端分离.rar
08-24
在现代Web开发前后端分离已经成为一种主流模式,它能有效提升开发效率,优化项目结构,提高代码的可维护性和可扩展性。本教程将围绕“layui+thinkphp前后端分离.rar”这套源码,深入探讨如何利用Layui前端框架与...
SpringBoot前后端分离实战项目源码.zip
11-04
在本项目,"SpringBoot前后端分离实战项目源码.zip" 提供了一个全面的教程,旨在帮助初学者和对SpringBoot感兴趣的开发者更好地理解和实践前后端分离的开发模式。这个项目利用了SpringBoot的强大功能,结合现代Web...
基于NodeJS的前后端分离的思考与实践(四)安全问题解决方案
10-25
前后端分离的开发模式,NodeJS成为了构建Web应用的重要工具,但随之而来的是安全问题的挑战。本文主要探讨了在NodeJS环境下,前后端分离架构前端面临的Web安全问题,尤其是跨站脚本攻击(XSS)的防范策略。 ...
DJANGO VUE3 跨域CSRF问题刨坑
llsixly
04-26 2440
文章目录前言1.跨域问题后台django部分第一步,安装cors的扩展包第二步,导入应用第三步,插入间件第四步,允许发送cookie第五步,设置白名单:第六步,设置允许的请求方法第七步,设置允许的其请求头第八步,测试2.CSRF问题和Cookie第一步,VUE的main.ts设置第二步,通过get请求先获取csrftoken第三步,请求带上CSRFTOKEN 前言 不行,我必须要总结一下,搞了两天,都在处理跨域的问题。 看到尤大的那句直接学VUE3就好,开始了VUE3+TS的刨坑之路,只能说不懂英语的程
vue前端 django 后端解决csrf问题,亲测有效
追梦小狂魔的博客
04-01 2675
首先是后端,用户访问首页的时候通常不会有csrf问题,在这里添加cookie from django.middleware.csrf import get_token csrf_token = get_token(request) response= render(request, "index.html") response.set_cookie('csrf_token', csrf_token) return response 这样csrf就随着cookie一起过去了 然后是axios的设置 添加请
前端预防攻击手段
qq_43853213的博客
06-26 647
XSSvue 和 react 插值表达式,都是可以预防的 但是 vue v-html react dangerouslySetInnerHTML这个是没有预防的预防手段比如 csrf 跨站请求伪造预防手段比如点击劫持点击劫持预防 DDoSSQL注入
Vue如何进行前端安全处理?
最新发布
有我更精彩的博客
03-12 708
在Vue进行前端安全处理是非常重要的,因为前端安全问题可能会导致诸如跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等安全漏洞。下面我将通过一些示例代码来演示在Vue如何进行前端安全处理。
Python开发【Django】:间件、CSRF
abchhcba2014的博客
02-04 288
CSRF 1、概述   CSRF(Cross Site Request Forgery)跨站点伪造请求,举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。   为了避免上面情况的出现,Djang...
常见的前端安全CSRF/XSS以及常规安全策略
小草莓的博客
07-14 1786
5、前端的常规安全策略 ① 定期请第三方机构做安全性测试和漏洞扫描 ② code review 保证代码质量 ③ 默认项目设置对应的 Header 请求头,如 X-XSS-Protection、 X-Content-Type-Options 、X-Frame-Options Header、Content-Security-Policy 等等 ④ 尽量不用v-html、在有输入框的地方要对输入做拦截和校验等
spring-security 前后分离如何获取csrf-token
n_rts的博客
02-16 4124
spingboot+security 前后端分离支持csrf
前端安全(XSS、CSRF)
程展威的博客
05-29 4317
前端安全:XSS和CSRF介绍及避免方案
springsecurity csrf前后端分离
09-02
对于前后端分离的应用,Spring Security提供了一种处理跨站请求伪造(CSRF)的方式。CSRF攻击是一种利用用户已经认证的身份进行恶意操作的攻击方式,而Spring Security通过在请求包含一个CSRF令牌来防止此类攻击。 在前后端分离的应用前端通常会发送Ajax请求来与后端进行交互。为了防止CSRF攻击,可以在后端配置Spring Security来生成和验证CSRF令牌。 首先,在后端的Spring Security配置文件,需要将CSRF保护启用。这可以通过以下代码实现: ```java @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()) .and() // 其他配置 } ``` 在这个配置,我们使用了`CookieCsrfTokenRepository`作为CSRF令牌的存储库,并设置`httpOnly`为`false`,允许前端访问该Cookie。你也可以选择其他的存储库,如`HeaderCsrfTokenRepository`。 接下来,在前端的每个请求,需要包含CSRF令牌。可以通过以下方式获取令牌: ```javascript var token = document.querySelector("meta[name='_csrf']").getAttribute("content"); var header = document.querySelector("meta[name='_csrf_header']").getAttribute("content"); ``` 然后,在每个请求,将令牌放入请求头: ```javascript var xhr = new XMLHttpRequest(); xhr.open("POST", url, true); xhr.setRequestHeader(header, token); // 其他请求设置 xhr.send(data); ``` 后端会验证请求头CSRF令牌与Cookie的令牌是否匹配,如果匹配则继续处理请求,否则返回错误。 这样,通过在前端发送请求时包含CSRF令牌,并在后端验证令牌,就可以有效防止CSRF攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值