csrf 功能 及 csrf装饰器使用

最新推荐文章于 2024-04-14 22:43:55 发布
最新推荐文章于 2024-04-14 22:43:55 发布
阅读量432 收藏
点赞数
文章标签: python javascript ViewUI
原文链接:http://www.cnblogs.com/guokaifeng/p/11111791.html
版权

目录

csrf 功能 及 csrf装饰器使用

简单了解csrf

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,
通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,
XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,
CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

f603918fa0ec08fa63cbd7e654ee3d6d54fbdaac.jpg

防范措施 了解更多csrf点击

对于web站点,将持久化的授权方法(例如cookie或者HTTP授权)切换为瞬时的授权方法(在每个form中提供隐藏field),
这将帮助网站防止这些攻击。一种类似的方式是在form中包含秘密信息、用户指定的代号作为cookie之外的验证。
另一个可选的方法是“双提交”cookie。此方法只工作于Ajax请求,但它能够作为无需改变大量form的全局修正方法。
如果某个授权的cookie在form post之前正被JavaScript代码读取,那么限制跨域规则将被应用。
如果服务器需要在Post请求体或者URL中包含授权cookie的请求,那么这个请求必须来自于受信任的域,
因为其它域是不能从信任域读取cookie的。
与通常的信任想法相反,使用Post代替Get方法并不能提供卓有成效的保护。因为JavaScript能使用伪造的POST请求。
尽管如此,那些导致对安全产生“副作用”的请求应该总使用Post方式发送。Post方式不会在web服务器和代理服务器日志中留下数据尾巴,
然而Get方式却会留下数据尾巴。
尽管CSRF是web应用的基本问题,而不是用户的问题,但用户能够在缺乏安全设计的网站上保护他们的帐户:
通过在浏览其它站点前登出站点或者在浏览器会话结束后清理浏览器的cookie。

django 中 csrf

  • 配置文件

1644071-20190630233630928-410559336.png

  • form表单使用

1644071-20190620185601815-1752531371.png

csrf装饰器

from django.views.decorators.csrf import csrf_exempt,csrf_protect,ensure_csrf_cookie#导入方法
csrf_exempt         #某个视图函数不需要进行csrf校验
csrf_protect        #某个视图函数需要进行csrf校验
ensure_csrf_cookie  #确保生成csrf的cookie
  • csrf_exempt使用实例 不需要效验
#setting中CSRF中间件未注释
#使用方法一
from django.views import View
from django.shortcuts import render, redirect, HttpResponse
from django.views.decorators.csrf import csrf_exempt,csrf_protect,ensure_csrf_cookie

class Login(View):
    @method_decorator(csrf_exempt) #csrf_exempt只能加载dispatch上才有效果,所有的方法都不需要验证
    def dispatch(self, request, *args, **kwargs):
        ret = super().dispatch(request, *args, **kwargs)
        return ret
    def get(self, request, *args, **kwargs):
        pass
    def post(self, request, *args, **kwargs):
        pass
  
#使用方法二
from django.views import View
from django.shortcuts import render, redirect, HttpResponse
from django.views.decorators.csrf import csrf_exempt,csrf_protect,ensure_csrf_cookie

@method_decorator(csrf_exempt,name="dispatch")
class Login(View):
    def get(self, request, *args, **kwargs):
        pass
    def post(self, request, *args, **kwargs):
        pass    
#使用方法三
把csrf_exempt装饰器直接加在URL路由映射中,使某个视图函数不经过CSRF验证
from users import views  
from django.views.decorators.csrf import csrf_exempt  

urlpatterns = [  
    url(r'^admin/', admin.site.urls),  
    url(r'^index/',csrf_exempt(views.index)),  
]

#FBV使用直接加就行
@csrf_exempt  
def index(request):  
    pass
  • 使用实例
#setting中CSRF中间件已注释
from django.views import View
from django.shortcuts import render, redirect, HttpResponse
from django.views.decorators.csrf import csrf_exempt,csrf_protect,ensure_csrf_cookie

class Login(View):
    @@method_decorator(ensure_csrf_cookie)
    def get(self, request, *args, **kwargs):
        pass
    @method_decorator(csrf_protect)#post需要效验
    def post(self, request, *args, **kwargs):
        pass
    
#FBV使用直接加就行
@csrf_protect  
def index(request):  
    pass

csrf功能(执行流程)

  • csrf中间件中执行process_request
    • 1 从cookie中获取到csrftoken的值
    • 2 csrftoken的值放入到 request.META

  • 执行process_view

    • 1 查询视图函数是否使用csrf_exempt装饰器,使用了就不进行csrf的校验

    • 2 判断请求方式:

      • 1 如果是GET', 'HEAD', 'OPTIONS', 'TRACE' 不进行csrf校验

      • 2 其他的请求方式(post,put)

        • 进行csrf校验:

        • 获取cookie中csrftoken的值

        • 获取csrfmiddlewaretoken的值

          • 能获取到 ——》 request_csrf_token

          • 获取不到 ——》 获取请求头中X-csrftoken的值 ——》request_csrf_token

          • 比较上述request_csrf_token和cookie中csrftoken的值,比较成功接收请求,比较不成功拒绝请求。

作 者: 郭楷丰
声援博主:如果您觉得文章对您有帮助,可以点击文章右下角 推荐一下。您的鼓励是博主的最大动力!
自 勉:生活,需要追求;梦想,需要坚持;生命,需要珍惜;但人生的路上,更需要坚强。 带着感恩的心启程,学会爱,爱父母,爱自己,爱朋友,爱他人。

转载于:https://www.cnblogs.com/guokaifeng/p/11111791.html

anzhilan7823
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
django 取消csrf限制的实例
01-20
# 使用装饰器即可避免csrf限制 @csrf_exempt def add_bookshelf(request): user_id = request.POST.get('user_id') print(user_id) return HttpResponse('123') 补充知识:Django 前后端分离跨域AJAX获取csrf...
解决django前后端分离csrf验证的问题
12-31
这种方方式使用ensure_csrf_cookie 装饰器实现,且前端页面由浏览器发送视图请求,在视图中使用render渲染模板,响应给前端,此时这个渲染模板的视图函数上要加上这个装饰器 这种方式保证了模板返回时,前端接收到的...
CSRF功能
yeyechao的博客
08-03 318
作用:每次请求不能重复提交,防止黑客通过URL请求窃取数据 原理:每次请求都携带 随机token(该token在后台产生), 携带的token与后台的token进行对比,若相同,表示请求合法,否则请求不合法。 token算法: public static String getRandomString(int length) { // length 字符串长度 StringBuffer buffer = new StringBuffer(“0123456789abcdefghijklmnopqrstuvw
django16: csrf跨站请求伪造/CSRF相关装饰器
winterye12的博客
04-23 117
CSRF 即跨站请求攻击 跨站请求伪造csrf 钓鱼网站 本质搭建一个跟正常网站一模一样的页面 用户在该页面上完成转账功能 转账的请求确实是朝着正常网站的服务端提交 唯一不同的在于收款账户人不同 给用户书写form表单 对方账户的input没有name属性 你自己悄悄提前写好了一个具有默认的并且是隐藏的具有name属性的input 模拟钓鱼网站 form表单中csrf校验 <form action="" method="post"> .
CSRF是什么
最新发布
套路猿的博客
04-14 3750
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取
CSRF是什么?
程宇寒
08-09 885
先从一个故事说起(故事纯属虚构,恶意模仿后果自负): 小谷最近遭遇电信诈骗被骗的倾家荡产,于是他想到了报复社会。在知乎上狂点800个没有帮助1000个举报后,他决定做点正事干票捞钱的生意。 「很多视频网站都有赠送礼品的功能,假如所有人都赠送我个礼物,我再转卖掉,不就发财啦」小谷寻思着。 说干就敢,经过一番折腾测试,小谷发现视频网站赠送礼物的接口是: https://xxxx.com/gift/send?target=someone&giftId=ab231 , 原来只要用户在登录状态下请求这
csrf原理及利用
qq_54030686的博客
11-15 361
csrf原理服务端未对用户请求来源校验,导致漏洞的出现 csrf 不要获取目标cookie,在目标登录相关网站拥有cookie时,使用此漏洞可以在指定网站使用目标cookie完成某些操作 具体实现(在没有token,refer验证前提下) 在修改账号密码(增加用户)页面中,uname,password可以将网页连接更改如下 http://192.168.0.1/genggaimima.php?uname=a&password=b 可以隐藏在html任意标签中 在钓鱼链接中插入此语句即可成功将目标在1
细说CSRF
LainWith的博客
08-24 1万+
定义 目录定义图示分类GET型POST型区别XSS与CSRF漏洞利用条件理解CSRF的场景防御手段验证 HTTP Referer 字段限制 Session Cookie 的生存周期在请求地址中添加 token 并验证(Anti-CSRF token)在 HTTP 头中自定义属性并验证一些背景知识CSRF漏洞的挖掘案例环境介绍GET型POST型参考 CSRF(Cross-Site request forgery)跨站请求伪造,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运
Python合并多个装饰器小技巧
12-24
django程序,需要写很多api,每个函数都需要几个装饰器,例如 复制代码 代码如下: @csrf_exempt  @require_POST  def foo(request):   pass  既然那么多个方法都需要写2个装饰器,或者多个,有啥办法把多个...
百度编辑器UEditor插件DjangoUeditor v1.8.143.zip
07-02
DjangoUeditor将Ueditor封装为一个Django app,提供文件/图片等上传功能,提供...针对csrf导致上传图片失败的问题,现在默认上传视图开启了csrf_exempt装饰 相关阅读 百度编辑器UEditor插件DjangoUeditor使用方法
前端面试题整理—性能优化及安全篇.docx
07-09
优势:去掉样式后页面呈现清晰的结构、盲人使用读屏器更好地阅读、搜索引擎更好地理解页面,有利于收录、便于团队项目的可持续运作及维护。 二、SEO 1. 合理的 title、description、keywords:title 值强调重点...
csrf相关装饰器,基于中间件编写项目,auth模块,bbs项目】
Ban_a的博客
05-25 198
文章目录csrf相关装饰器针对FBV:针对CBV:基于中间件思想编写项目功能的插拔式设计auth认证模块auth模块方法大全局部配置全局配置auth扩展表字段dbs项目 csrf相关装饰器 控制csrf针对局部校验 我们使用csrf相关装饰器需要使用两个方法 from django.views.decorators.csrf import csrf_exempt,csrf_protect csrf_exempt:忽略csrf校验 需要开启全局csrf csrf_protect:开启csrf校验 需要
CSRF简介
热门推荐
qq_45803593的博客
05-12 4万+
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状 CSRF这种攻击方式在2000年
django中间件的5个方法以及csrf装饰器用法
weixin_30835933的博客
04-10 216
django中间件的5个方法。 -process_request -process_view -process_response -process_exception -process_render_template 1 请求先执行所有中间件的process_request,然后做路由匹配,找到函数不执行。 2再执行所有的process_view,在执行视图函数。 3再执...
day14 CBV添加装饰器 csrf跨站请求伪造 、装饰器 auth模块
qq_1617271856的博客
12-08 469
day14 CBV添加装饰器 csrf跨站请求伪造 、装饰器 auth模块 今日内容概要 CBV添加装饰器 csrf跨站请求伪造 csrf相关装饰器 Auth模块 只要是跟注册,登录,修改密码,注销,验证是否登录等等 今日内容详细 CBV添加装饰器 # 1. FBV: function based view 基于函数的视图函数 # 2. CBV:class based view 基于类的视图函数 1.from django.views import View #CBV必须继
csrf跨站请求伪造,csrf相关的装饰器,auth认证模块,auth_user表切换,基于django中间件设计项目功能
Yydsaoligei的博客
09-13 454
csrf跨站请求伪造,csrf相关的装饰器,auth认证模块,auth_user表切换,基于django中间件设计项目功能
Django中的csrf相关装饰器
weixin_30314793的博客
09-20 168
切记: 这俩个装饰器不能直接加在类中函数的上方 (CBV方式) csrf_exempt除了,csrf_protect受保护的 from django.views import Viewfrom django.utils.decorators import method_decoratorfrom django.views.decorators.csrf import csrf_...
Django 中针对基于类的视图添加 csrf_exempt
kongxx的专栏
08-17 2万+
在Django中对于基于函数的视图我们可以 @csrf_exempt 注解来标识一个视图可以被跨域访问。那么对于基于类的视图,我们应该怎么办呢?简单来说可以有两种访问来解决方法一:在类的 dispatch 方法上使用 @csrf_exemptfrom django.views.decorators.csrf import csrf_exemptclass MyView(View): def g
csrf跨站请求
记录学习ing
06-04 294
钓鱼网站 我搭建一个跟正规网站一模一样的界面(中国银行) 用户不小心进入到了我们的网站,用户给某个人打钱 打钱的操作确确实实是提交给了中国银行的系统,用户的钱也确确实实减少了 但是唯一不同的时候打钱的账户不适用户想要打的账户变成了一个莫名其妙的账户内部本质 我们在钓鱼网站的页面 针对对方账户 只给用户提供一个没有name属性的普通input框 然后我们在内部隐藏一个已经写好name和value的input框如何规避上述问题 csrf跨站请求伪造校验
django关闭CSRF具体代码写一下
07-17
要在Django中关闭CSRF保护机制,你可以通过在视图函数上使用`csrf_exempt`装饰器来实现。以下是具体的代码示例: ```python from django.views.decorators.csrf import csrf_exempt from django.http import HttpResponse @csrf_exempt def your_view(request): # 在这里编写你的视图逻辑 return HttpResponse("Hello, world!") ``` 在上述示例中,我们导入了`csrf_exempt`装饰器和`HttpResponse`类。然后,我们定义了一个名为`your_view`的视图函数,并在其上方使用`csrf_exempt`装饰器进行装饰。 通过使用`csrf_exempt`装饰器,该视图函数将不受Django的CSRF保护机制的限制,可以接收任何类型的请求(包括POST、PUT、DELETE等)。请注意,关闭CSRF保护可能会增加应用程序的安全风险,所以请谨慎使用。 你可以在`your_view`函数中编写你的视图逻辑,并根据需求返回相应的HTTP响应。这只是一个简单的示例,你可以根据自己的实际需求进行修改和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值