Python web实战之Django 的跨站点请求伪造(CSRF)保护详解

最新推荐文章于 2024-05-01 09:48:33 发布
最新推荐文章于 2024-05-01 09:48:33 发布
阅读量1.2k 收藏
点赞数
文章标签: python 前端 django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Rocky006/article/details/132312487
版权

      

关键词:Python、Web、Django、跨站请求伪造、CSRF

大家好,今天我将分享web关于安全的话题:Django 的跨站点请求伪造(CSRF)保护,介绍 CSRF 的概念、原理和保护方法.

640?wx_fmt=png&tp=wxpic&wxfrom=5&wx_lazy=1&wx_co=1

1. CSRF 是什么?

CSRF,全称为 Cross-Site Request Forgery,中文翻译为跨站点请求伪造。

简单来说,它是一种恶意攻击方式,黑客利用用户在另一个网站上的登录状态,冒充用户发送请求,进行非法操作。

举个例子,你在浏览一个论坛的时候,不小心点击了一个帖子,结果你的账号信息被窃取,银行卡被盗刷了!

2. CSRF 的原理

那么,CSRF 攻击是怎么实现的呢?假设你正在购物网站上浏览商品,当你点击某个商品的时候,网站会发送一个请求给服务器,告诉服务器你想要购买这个商品。

而黑客正是利用这个机制,通过构造恶意页面,在你不知情的情况下发送请求。服务器收到请求后并不知道这是一个欺骗性的请求,于是执行了对应的操作,可能是删除商品、修改密码等等,这就是 CSRF 攻击的原理。

3. Django 的 CSRF 保护机制

Django 是如何保护我们的网站免受 CSRF 攻击的?

3.1 CSRF Token

Django 的 CSRF 保护机制主要依赖于 CSRF Token。

这个 Token 是一个随机生成的字符串,每次请求页面时都会将它嵌入到表单中或者设置到 Cookie 中。当用户提交表单时,Django 会检查请求中的 Token 是否与 Cookie 中的 Token 一致,如果不一致,则拒绝这个请求,从而有效地防止了 CSRF 攻击。

当然,如果攻击者能够获取到用户的Cookie,就可以利用这些Cookie来伪造用户的身份,从而绕过CSRF保护机制。

为了防范这种情况,有几个常用的方法可以采取:

  1. 使用HttpOnly标记:将Cookie标记为HttpOnly,这样JavaScript无法访问Cookie的值,只能在HTTP请求中自动发送。这可以防止大部分的跨站脚本攻击(XSS)。

# 在Django中设置Cookie为HttpOnly
response.set_cookie('cookie_name', 'cookie_value', httponly=True)

  1. 启用Secure标记:将Cookie标记为Secure,这样它只能通过HTTPS连接进行传输。这可以防止中间人攻击,确保Cookie只在安全的通信通道中传输。

# 在Django中设置Cookie为Secure
response.set_cookie('cookie_name', 'cookie_value', secure=True)

  1. 设置SameSite属性:通过设置SameSite属性,可以限制Cookie的发送范围,确保它只能在同一站点的请求中发送。这可以防止跨站点请求伪造(CSRF)攻击。

# 在Django中设置Cookie的SameSite属性
response.set_cookie('cookie_name', 'cookie_value', samesite='Strict')

3.2 设置 CSRF Token

在 Django 中,设置 CSRF Token 非常简单。你只需要在表单中添加一个隐藏字段,然后在后端代码中通过模板标签将 Token 插入到该字段中即可:

<form method="post">
  {% csrf_token %}
  <!-- 其他表单字段 -->
  <button type="submit">提交</button>
</form>

3.3 验证 CSRF Token

当用户提交表单时,Django 会自动验证 CSRF Token 的有效性。

如果 Token 不匹配,Django 会抛出一个异常,你可以在代码中捕获这个异常,并采取相应的处理措施,例如返回一个错误页面或者重新生成 Token。

也可以显式关闭CSRF:

from django.shortcuts import render
from django.views.decorators.csrf import csrf_exempt

# 装饰器,用于关闭 CSRF 保护

@csrf_exempt
def my_view(request):
\# 处理请求的逻辑代码
return render(request, 'my_template.html')

在上面的示例代码中,我们使用了 csrf_exempt 装饰器来关闭 CSRF 保护,这样就可以在视图函数 my_view 中处理请求而不受 CSRF Token 的限制。

当然,在实际开发中并不建议关闭 CSRF 保护,而是要正确地使用 CSRF Token 来保护网站的安全性。

4. 技术总结

本文详细介绍了 Django 中的跨站点请求伪造(CSRF)保护机制。实际开发中,仅仅靠CSRF机制并不是绝对安全的,还应该结合其他安全措施,综合多种技术来确保应用程序的安全性。

Rocky006
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
pythonCSRF设置(一)
野先生的专栏
10-31 2374
pythonCSRF设置一 csrf:请求伪造,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成 1、单个ajax提交设置,在ajax内添加:headers: {‘X-CSRFtoken’: $.cookie(‘csrftoken’)}, $('#btn').click(function () { $.ajax({ ...
Django 配置CSRF站点请求伪造保护
qq_39046786的博客
06-16 2507
Django 配置CSRF站点请求伪造保护 配置 在项目的setings.py文件中 添加如下。 MIDDLEWARE = [ 'django.middleware.csrf.CsrfViewMiddleware', ] 请求伪造保护实现主要分为两步 第一步: DjangoCSRF 保护要求请求的Referer 标头与标头中存在的来源相匹配Host。例如,这可以防止针对 的POST请求subdomain.example.com成功api.example.com。如果您需要
2024年最新【Django网络安全】如何正确防护CSRF站点请求伪造_drf csrf
最新发布
2401_84240454的博客
05-01 963
CSRF_USE_SESSIONS=True # 在用户会话中而不是在cookie中存储CSRF令牌,实际意义不大。== ‘’) {’);
Django框架之CSRF使用篇
json_li的博客
07-12 788
Csrf验证在项目中对于安全非常重要,通过上述的csrf设置与使用,对django框架又增加了一些了解,在使用上可以更加的灵活。
python 全栈开发,Day88(csrf_exempt,ES6 快速入门,Vue)
shykevin的博客
07-23 788
python 全栈开发,Day88(csrf_exempt,ES6 快速入门,Vue) BBS项目内容回顾 1. 登陆页面 1. 验证码 1. PIL(Pillow) 2. io 2. ORM 1. 增删改查 3. AJAX $.ajax...
python django 表单自动化_Python自动化之DjangoCSRF
weixin_39943000的博客
12-11 129
什么CSRF?CSRF, Cross Site Request Forgery, 站点伪造请求。举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。Django 提供的 CSRF 防护机制django 第一次响...
Django中如何防范CSRF站点请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF站点请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Django CSRF请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A...
Python Web框架之Django框架Model基础详解
09-18
主要介绍了Python Web框架之Django框架Model基础,结合实例形式分析了Django框架Model模型相关使用技巧与操作注意事项,需要的朋友可以参考下
python模拟浏览器上传文件_python模拟浏览器文件上传,csrf放行
weixin_39929096的博客
12-04 95
服务器端视图函数from django.shortcuts import render,HttpResponsefrom django.views.decorators.csrf import csrf_exempt# Create your views here.@csrf_exempt#这个可以对csrf进行放行def up(request,):file_list = request.FILE...
Python面试题-如何解决csrf域问题
Tubby__的博客
02-12 387
web后端面试题-如何解决域问题 最近在整理Pythonweb后端面试题,整理到了如何解决域问题,如有错误,欢迎指正 前后端不分离的CSRF 在页面HTML提交的form表单前加{ % csrf_token %} 最简单粗暴的方法就是将settings.py配置文件中的CSRF的中间件注掉 前后端分离的CSRF 注销Django中的中间件(django.middleware.c...
Python:djanjo之csrf站攻击
weixin_42161670的博客
05-08 560
一.CSRF简介 CSRF是什么? CSRF(Cross-site request forgery),中文名称:请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 CSRF漏洞现状? CSRF这种攻击方式在
Python web实战 | 细说 Django站点请求伪造CSRF保护
Saki_Python的博客
08-16 414
本文详细介绍了 Django 中的站点请求伪造CSRF保护机制。实际开发中,仅仅靠CSRF机制并不是绝对安全的,还应该结合其他安全措施,综合多种技术来确保应用程序的安全性。
python Django学习(14)——CSRF
weixin_42567323的博客
10-16 207
前言     之前在做form表单提交或者ajax提交的时候,都会提前在settings.py中做一个配置:找到MIDDLEWARE,把里面关于CSRF那一句注释掉,然后再做提交,那么,如果我们不注释,会出现什么情况呢? 一.CSRF原理     我们先来把注释CSRF的那一句打开,然后运行程序,在login页面输入账...
python django域解决csrf_exempt
qq_38407055的博客
04-25 2684
先导入包:from django.views.decorators.csrf import csrf_exempt 1.在需要域的视图前面加上装饰器@csrf_exempt 2.在url配置中加入(r’xx’,csrf_exempt(xxx.xxx))
python前后端请求问题
高压锅博客
05-13 4704
python前后端请求问题 一、 Access-Control-Allow-Origin 方法1:使用 response.setHeader(“Access-Control-Allow-Origin”,"*"); 可以解决 目前的浏览器为了数据的安全,所有请求被严格限制在同一域名下,如果需要从不同的服务器(不同域名)上获取数据,那么需要使用域HTTP请求。 实现域的方式是在请求的目标网站后台中(以java servlet为例)添加如下代码: response.setHeader("Access-
Django 中针对基于类的视图添加 csrf_exempt
热门推荐
kongxx的专栏
08-17 2万+
Django中对于基于函数的视图我们可以 @csrf_exempt 注解来标识一个视图可以被域访问。那么对于基于类的视图,我们应该怎么办呢?简单来说可以有两种访问来解决方法一:在类的 dispatch 方法上使用 @csrf_exemptfrom django.views.decorators.csrf import csrf_exemptclass MyView(View): def g
django @csrf_exempt
v791106444的博客
05-23 3146
在views.py中 from django.views.generic.base import View class ueditor(View): @csrf_exempt def post(self, request): print(request.POST.get('abc', "")) return render(request, "...
Django中的CSRF(请求伪造)
05-19
CSRF(Cross-Site Request Forgery)即请求伪造,是一种常见的Web攻击方式。攻击者通过伪造用户的请求,来实现恶意操作,例如:以用户的名义发帖、发私信、盗取用户信息等。Django中提供了内置的CSRF防护机制,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Rocky006

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值