Django CSRF防护

已于 2022-02-19 10:02:43 修改
阅读量667 收藏 1
点赞数 1
分类专栏: Python 文章标签: python csrf django
于 2021-01-27 22:16:57 首次发布
原文链接:https://ke.qq.com/course/320021
版权
本文介绍了CSRF(跨站请求伪造)的概念及工作原理,并详细解释了Django如何验证请求是否为CSRF攻击,同时提供了几种常见的CSRF防护机制实现方法,最后简述了如何在特定情况下取消CSRF防护。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

参考视频:https://ke.qq.com/course/320021

一、CSRF是什么

CSRF(Cross Site Request Forgery):跨站请求伪造,实现的原理是CSRF攻击者在用户已经登录目标网站之后,诱使用户访

问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。

二、CSRF工作原理

Django怎么验证一个请求是不是CSRF?

Django处理客户端请求时,会生成一个随机Token,放到Cookie里一起返回,然后需要前端每次POST请求时带上这个Token,

可以放到POST数据里键为csrfmiddlewaretoken,或者放到请求头键为X-CSRFToken,Django从这两个位置取,每次处理都会

拦截验证,通过比对两者是否一致来判断这个请求是不是非法,非法就返回403状态码

三、使用CSRF防护机制

常见有三种方法可以携带CSRF Token发送给服务端

• from表单添加{% csrf_token %}标签,表单会携带一同提交

<form method="post">
	{% csrf_token %}
	用户名: <input type="text" name="username"><br>
	密码: <input type="text" name="password"><br>
	<button type="submit">登录</button>
</form>

• 如果你是Ajax请求,需要把csrf token字符串(也是通过拿{% csrf_token %}标签产生的值)放到data里一起提交,并且键名为csrfmiddlewaretoken或者放到请求头传递服务端

csrfmiddlewaretoken = $('input[name=csrfmiddlewaretoken]').val();
var data = {'id': '123', 'csrfmiddlewaretoken': csrfmiddlewaretoken};
$.ajax({
	type: "POST",
	url: "/api",
	data: data,
	dataType: 'json'
})

• 指定取消某函数视图CSRF防护

from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def login(request):

四、取消CSRF防护机制

在settings.py中注释该行
在这里插入图片描述

Django_CSRF_原理分析
Golang & Python 我的最爱
09-19 2125
关于CSRFCSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。
Django CSRF跨站请求伪造防护过程解析
09-18
Django框架提供了一套强大的CSRF防护机制,以防止这种攻击。 在Django中,CSRF防护主要通过以下步骤实现: 1. **生成CSRF令牌**:Django会在每个用户会话开始时生成一个唯一的CSRF令牌,并将其存储在用户的session...
Django——CSRF防御
小白一直白
01-28 481
关于CSRF攻击原理在上一篇博客已经有过说明,这篇主要介绍下Django关于开启CSRFCSRF工作机理。关于开启防御有两种,一种是全局开启,另一种是局部开启。 全局: 中间件 django.middleware.csrf.CsrfViewMiddleware 局部:from django.views.decorators.csrf import csrf_exempt,csrf_prot...
如何在Django中设置CSRF Token?
最新发布
字节王德发
03-17 1098
在现代的Web开发中,安全性是至关重要的。CSRF(跨站请求伪造)攻击是常见的安全威胁之一。为了抵御这种攻击,Django提供了强大的CSRF保护机制。本篇文章将详细介绍如何在Django中设置和使用csrf_token,帮助你更好地理解这一重要安全特性。要理解CSRF的概念。CSRF是一种攻击方式,攻击者通过伪造用户的请求来执行不当操作。比如,当用户在某个网站上登录后,攻击者可以利用用户的身份发送恶意请求。为了防止这种情况,Django通过CSRF Token来确保请求的合法性。
djangoCSRF防护
笑笑生的博客
06-28 578
CSRF防护一、什么是CSRFCSRF: Cross-site request forgery,跨站请求伪造用户登录了正常的网站A, 然后再访问某恶意网站,该恶意网站上有一个指向网站A的链接,那么当用户点击该链接时,则恶意网站能成功向网站A发起一次请求,实际这个请求并不是用户想发的,而是伪造的,而网站A并不知道。攻击者利用了你的身份,以你的名义发送恶意请求,比如:以你名义发送邮件,发消息,盗取你...
Djangocsrf防护
weixin_45921256的博客
02-28 191
csrf防护的目的:防止别的网站通过不正当手段直接访问或修改我们网站用户的数据库 django中的csrf代码段在settings中 注释掉第三行可以关闭csrf防护djangocsrf防护中(只针对post),浏览器http请求(Forbidden)和ajax(403 2274)请求不一样 前者处理:在模板html内要提交的表单中加上{% csrf_token %} 后者处理:在view...
DjangoCSRF防护
hehui1uu的博客
05-17 222
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录一、CSRF是什么?二、CSRF防护机制防护原理简介csrf防护函数相关介绍csrf防护的一些补充每日一图 一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF,这是一种对网站的恶意利用,窃取网站用户信息来制造恶意请求。 二、CSRF防护机制 Django为了防护这类攻击
superagent-django-csrf:为Django CSRF防护补丁增强安全性
正确的CSRF防护可以大幅减少Web应用遭受CSRF攻击的风险。 通过理解上述知识点,开发者可以更好地掌握如何在使用Node.js和SuperAgent库的项目中实现Django风格的CSRF保护机制,以及如何通过npm安装和使用superagent-...
django框架CSRF防护原理与用法分析
09-19
### Django框架CSRF防护原理与用法分析 #### 一、什么是CSRF? **CSRF**(Cross-site request forgery,跨站请求伪造)是一种常见的安全攻击手段,它利用已认证用户的浏览器来发起针对Web应用程序的恶意操作。这种...
django csrf 防护
xiaobukasi的专栏
05-26 128
作用: 防止跨站伪请求 配置文件: MIDDLEWARE = [ 'django.middleware.csrf.CsrfViewMiddleware', ] 模板: {% csrf_token%} 视图类视图函数默认都加入csrf验证 from django.views.decorators.csrf import csrf_exempt,csrf_protect fbv: 去掉csrf防护 @csrf_exempt 加入csrf防护 @csrf_pro...
Djangocsrf防御机制
peppa_pig的博客
12-25 313
{% csrf_token %}标签,csrf 全称是 Cross Site Request Forgery。是Django提供的防止伪装提交请求的功能。POST 方法提交的表格,必须有此标签。 Django在template中写form时,要加上{% csrf_token %},否则会报错。 目的:csrf_token是为了防止CSRF(跨站请求伪造)。 csrf攻击说明 1.用户C打开...
Python Django框架防御CSRF攻击的方法分析
09-18
主要介绍了Python Django框架防御CSRF攻击的方法,结合实例形式分析了Python Django框架防御CSRF攻击的原理、配置方法与使用技巧,需要的朋友可以参考下
djangoCSRF的问题及解决
06-05
CSRF是Cross Site Request Forgery的缩写,称其为“跨站请求伪造”。常与XSS想提并论,但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以有时候被认为比XSS更具危险性。
Django框架学习16--csrf防御机制及原理
铁马冰河入梦来
12-20 1370
csrf攻击说明 1.用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3.用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 4.网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A; 5.浏览器在接收...
Django CSRF
光明小学王小雨的博客
12-16 2010
一、CSRF攻击攻击原理及过程 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式 1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B...
Django, csrf
rcompass1107的专栏
10-14 756
I have recently updated a website from Django 1.0 to 1.3. One of the changes introduced wasautomatic protection against CSRF attacks. For the most part, this works great, but I have a problem with c
django CSRF
u014379665的专栏
03-14 386
什么是CSRF 问题是解决了,但我不禁回想为什么在Django里提交POST表单要配置那么麻烦(其实也不麻烦,但对新手来说就不一样了),于是搜索关键字看看,得知它是一种跨站请求伪造,黑客可以利用这个攻击站点。而Django里的使用这个机制就是防止CSRF模式攻击,原理大致是当你打开页面的时候产生一个csrftokey种下cookie,然后当你提交表单时会把本地cookie里的csrftoke
Django | 安全防护CSRF跨站伪请求和SQL注入攻击
计算机魔术师的blog
08-22 4097
一、演示CSRF漏洞 二、环境准备 三、模拟黑客🐱‍👤 四、解决办法 五、SQL注入攻击漏洞
djangocsrf
qq_39112101的博客
07-16 323
CSRF跨域伪造攻击 使用当前浏览器还在生效状态的cookie对指定网站进行操作。最初针对的是银行网站的转账。 Django本身会对csrf进行校验,在django的1.4版本之前,csrf默认关闭,需要在settings当中手动开启,在1.4之后,默认开启。在settings.py中csrf的配置如下。 如何防止csrfdjango的任何post请求,都会在请求之初,给...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值