csrf 功能 及 csrf装饰器使用

最新推荐文章于 2024-04-14 22:43:55 发布
最新推荐文章于 2024-04-14 22:43:55 发布
阅读量432 收藏
点赞数
文章标签: python javascript ViewUI
原文链接:http://www.cnblogs.com/guokaifeng/p/11111791.html
版权

目录

csrf 功能 及 csrf装饰器使用

简单了解csrf

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,
通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,
XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,
CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

f603918fa0ec08fa63cbd7e654ee3d6d54fbdaac.jpg

防范措施 了解更多csrf点击

对于web站点,将持久化的授权方法(例如cookie或者HTTP授权)切换为瞬时的授权方法(在每个form中提供隐藏field),
这将帮助网站防止这些攻击。一种类似的方式是在form中包含秘密信息、用户指定的代号作为cookie之外的验证。
另一个可选的方法是“双提交”cookie。此方法只工作于Ajax请求,但它能够作为无需改变大量form的全局修正方法。
如果某个授权的cookie在form post之前正被JavaScript代码读取,那么限制跨域规则将被应用。
如果服务器需要在Post请求体或者URL中包含授权cookie的请求,那么这个请求必须来自于受信任的域,
因为其它域是不能从信任域读取cookie的。
与通常的信任想法相反,使用Post代替Get方法并不能提供卓有成效的保护。因为JavaScript能使用伪造的POST请求。
尽管如此,那些导致对安全产生“副作用”的请求应该总使用Post方式发送。Post方式不会在web服务器和代理服务器日志中留下数据尾巴,
然而Get方式却会留下数据尾巴。
尽管CSRF是web应用的基本问题,而不是用户的问题,但用户能够在缺乏安全设计的网站上保护他们的帐户:
通过在浏览其它站点前登出站点或者在浏览器会话结束后清理浏览器的cookie。

django 中 csrf

  • 配置文件

1644071-20190630233630928-410559336.png

  • form表单使用

1644071-20190620185601815-1752531371.png

csrf装饰器

from django.views.decorators.csrf import csrf_exempt,csrf_protect,ensure_csrf_cookie#导入方法
csrf_exempt         #某个视图函数不需要进行csrf校验
csrf_protect        #某个视图函数需要进行csrf校验
ensure_csrf_cookie  #确保生成csrf的cookie
  • csrf_exempt使用实例 不需要效验
#setting中CSRF中间件未注释
#使用方法一
from django.views import View
from django.shortcuts import render, redirect, HttpResponse
from django.views.decorators.csrf import csrf_exempt,csrf_protect,ensure_csrf_cookie

class Login(View):
    @method_decorator(csrf_exempt) #csrf_exempt只能加载dispatch上才有效果,所有的方法都不需要验证
    def dispatch(self, request, *args, **kwargs):
        ret = super().dispatch(request, *args, **kwargs)
        return ret
    def get(self, request, *args, **kwargs):
        pass
    def post(self, request, *args, **kwargs):
        pass
  
#使用方法二
from django.views import View
from django.shortcuts import render, redirect, HttpResponse
from django.views.decorators.csrf import csrf_exempt,csrf_protect,ensure_csrf_cookie

@method_decorator(csrf_exempt,name="dispatch")
class Login(View):
    def get(self, request, *args, **kwargs):
        pass
    def post(self, request, *args, **kwargs):
        pass    
#使用方法三
把csrf_exempt装饰器直接加在URL路由映射中,使某个视图函数不经过CSRF验证
from users import views  
from django.views.decorators.csrf import csrf_exempt  

urlpatterns = [  
    url(r'^admin/', admin.site.urls),  
    url(r'^index/',csrf_exempt(views.index)),  
]

#FBV使用直接加就行
@csrf_exempt  
def index(request):  
    pass
  • 使用实例
#setting中CSRF中间件已注释
from django.views import View
from django.shortcuts import render, redirect, HttpResponse
from django.views.decorators.csrf import csrf_exempt,csrf_protect,ensure_csrf_cookie

class Login(View):
    @@method_decorator(ensure_csrf_cookie)
    def get(self, request, *args, **kwargs):
        pass
    @method_decorator(csrf_protect)#post需要效验
    def post(self, request, *args, **kwargs):
        pass
    
#FBV使用直接加就行
@csrf_protect  
def index(request):  
    pass

csrf功能(执行流程)

  • csrf中间件中执行process_request
    • 1 从cookie中获取到csrftoken的值
    • 2 csrftoken的值放入到 request.META

  • 执行process_view

    • 1 查询视图函数是否使用csrf_exempt装饰器,使用了就不进行csrf的校验

    • 2 判断请求方式:

      • 1 如果是GET', 'HEAD', 'OPTIONS', 'TRACE' 不进行csrf校验

      • 2 其他的请求方式(post,put)

        • 进行csrf校验:

        • 获取cookie中csrftoken的值

        • 获取csrfmiddlewaretoken的值

          • 能获取到 ——》 request_csrf_token

          • 获取不到 ——》 获取请求头中X-csrftoken的值 ——》request_csrf_token

          • 比较上述request_csrf_token和cookie中csrftoken的值,比较成功接收请求,比较不成功拒绝请求。

作 者: 郭楷丰
声援博主:如果您觉得文章对您有帮助,可以点击文章右下角 推荐一下。您的鼓励是博主的最大动力!
自 勉:生活,需要追求;梦想,需要坚持;生命,需要珍惜;但人生的路上,更需要坚强。 带着感恩的心启程,学会爱,爱父母,爱自己,爱朋友,爱他人。

转载于:https://www.cnblogs.com/guokaifeng/p/11111791.html

anzhilan7823
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决django前后端分离csrf验证的问题
12-31
第一种方式ensure_csrf_cookie 这种方方式使用ensure_csrf_cookie 装饰器实现,且前端页面由浏览器发送视图请求,在视图中使用render渲染模板,响应给前端,此时这个渲染模板的视图函数上要加上这个装饰器 这种方式保证了模板返回时,前端接收到的响应中有csrftoken这个cookie,方法见代码。 以上方法并没有严格意义的前后分离,如果模板中有form表单,可以直接在模板中添加{% csrf_token %}。 第二种方式 前后完全分离,前端页面直接通过获取静态文件得到,然后直接发送ajax请求,得到csrftoken,此时需要一个视图函数来返回token值
django 取消csrf限制的实例
01-20
# 导入包 from django.views.decorators.csrf import csrf_exempt # 使用装饰器即可避免csrf限制 @csrf_exempt def add_bookshelf(request): user_id = request.POST.get('user_id') print(user_id) return HttpResponse('123') 补充知识:Django 前后端分离跨域AJAX获取csrftoken及获取cookie时遇到的问题 获取CSRFTOKEN Django的中间件’django.middleware.c
CSRF是什么
最新发布
套路猿的博客
04-14 3750
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取
CSRF 攻击的应对之道
java旅程
09-06 479
转载自:http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。 **CSRF 攻击实例**
CSRF漏洞原理攻击与防御(非常细)
Karka_的博客
06-07 1332
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
CSRF功能
yeyechao的博客
08-03 318
作用:每次请求不能重复提交,防止黑客通过URL请求窃取数据 原理:每次请求都携带 随机token(该token在后台产生), 携带的token与后台的token进行对比,若相同,表示请求合法,否则请求不合法。 token算法: public static String getRandomString(int length) { // length 字符串长度 StringBuffer buffer = new StringBuffer(“0123456789abcdefghijklmnopqrstuvw
Django安全认证机制CSRF
ssshey的博客
07-07 994
Django安全认证机制CSRF
csrf跨站请求
记录学习ing
06-04 294
钓鱼网站 我搭建一个跟正规网站一模一样的界面(中国银行) 用户不小心进入到了我们的网站,用户给某个人打钱 打钱的操作确确实实是提交给了中国银行的系统,用户的钱也确确实实减少了 但是唯一不同的时候打钱的账户不适用户想要打的账户变成了一个莫名其妙的账户内部本质 我们在钓鱼网站的页面 针对对方账户 只给用户提供一个没有name属性的普通input框 然后我们在内部隐藏一个已经写好name和value的input框如何规避上述问题 csrf跨站请求伪造校验
Django中间件之csrf跨站请求伪造
weixin_46407419的博客
03-10 273
csrf跨站请求伪造 CSRF(Cross Site Request Forgery) 跨站请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。如果从名字你还不不知道它表示什么,你可以这样理解:攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私...
Django中的CSRF使用及ajax请求接口时问题总结
Colinspace
11-23 1182
总结Django的常规使用CSRF的情况,以及如何在AJAX 中请求后端接口的时候,使用 CSRF
Django 中针对基于类的视图添加 csrf_exempt
kongxx的专栏
08-17 2万+
在Django中对于基于函数的视图我们可以 @csrf_exempt 注解来标识一个视图可以被跨域访问。那么对于基于类的视图,我们应该怎么办呢?简单来说可以有两种访问来解决方法一:在类的 dispatch 方法上使用 @csrf_exemptfrom django.views.decorators.csrf import csrf_exemptclass MyView(View): def g
Python合并多个装饰器小技巧
12-24
django程序,需要写很多api,每个函数都需要几个装饰器,例如 复制代码 代码如下: @csrf_exempt  @require_POST  def foo(request):   pass  既然那么多个方法都需要写2个装饰器,或者多个,有啥办法把多个...
百度编辑器UEditor插件DjangoUeditor v1.8.143.zip
07-02
DjangoUeditor将Ueditor封装为一个Django app,提供文件/图片等上传功能,提供...针对csrf导致上传图片失败的问题,现在默认上传视图开启了csrf_exempt装饰 相关阅读 百度编辑器UEditor插件DjangoUeditor使用方法
前端面试题整理—性能优化及安全篇.docx
07-09
优势:去掉样式后页面呈现清晰的结构、盲人使用读屏器更好地阅读、搜索引擎更好地理解页面,有利于收录、便于团队项目的可持续运作及维护。 二、SEO 1. 合理的 title、description、keywords:title 值强调重点...
【安全】(二)Django之csrf防御
财迷的博客
02-28 1250
【安全】(二)Django之csrf防御
CSRF(跨站请求伪造)
无痕的博客
01-18 8189
csrf跨站请求伪造介绍、csrf攻击在dvwa环境中的应用
CSRF简介
热门推荐
qq_45803593的博客
05-12 4万+
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状 CSRF这种攻击方式在2000年
csrf攻击原理与解决方法
hengliang_的博客
09-10 5476
0x01前言 因为现代浏览器的工作机制原因,造成一种WEB攻击形态的存在, 这种攻击形式叫做CSRF攻击,以往我们是从攻击角度分析这种攻击的原理和操作。这次我们给出攻击原理同时,给出CSRF在服务器端的防御的解决方案。CSRF是现代WEB程序要面对的共通性问题,在很多流行的WEB框架中,都会将CSRF的问题直接在WEB框架层面解决。 我们先抛出CSRF这个问题,然后介绍基于时间与签名的防护手段,并且给出的这种防御手段的具体代码实现。过程中使用了Lua语言进行实现功能, LUA是一种容易理解的脚本语言,大
django关闭CSRF具体代码写一下
07-17
要在Django中关闭CSRF保护机制,你可以通过在视图函数上使用`csrf_exempt`装饰器来实现。以下是具体的代码示例: ```python from django.views.decorators.csrf import csrf_exempt from django.http import HttpResponse @csrf_exempt def your_view(request): # 在这里编写你的视图逻辑 return HttpResponse("Hello, world!") ``` 在上述示例中,我们导入了`csrf_exempt`装饰器和`HttpResponse`类。然后,我们定义了一个名为`your_view`的视图函数,并在其上方使用`csrf_exempt`装饰器进行装饰。 通过使用`csrf_exempt`装饰器,该视图函数将不受Django的CSRF保护机制的限制,可以接收任何类型的请求(包括POST、PUT、DELETE等)。请注意,关闭CSRF保护可能会增加应用程序的安全风险,所以请谨慎使用。 你可以在`your_view`函数中编写你的视图逻辑,并根据需求返回相应的HTTP响应。这只是一个简单的示例,你可以根据自己的实际需求进行修改和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值