csrf验证机制

最新推荐文章于 2024-05-15 11:57:48 发布
最新推荐文章于 2024-05-15 11:57:48 发布
阅读量454 收藏 1
点赞数
分类专栏: 安全点滴知识 文章标签: CSRF
原文链接:https://blog.csdn.net/wireless911/article/details/81589202
版权

CSRF(跨站请求伪造)

CSRF 英文全称为 Cross SIte Request Forgery
CSRF 通常指恶意攻击者盗用用户的名义,发送恶意请求,严重泄露个人信息危害财产的安全
CSRF攻击示意图

 

解决CSRF攻击

使用csrf_token校验

1.客户端和浏览器向后端发送请求时,后端往往会在响应中的 cookie 设置 csrf_token 的值,可以使用请求钩子实现,在cookie中设置csrf_token

2.flask_wtf 中为我们提供了CSRF保护,可以直接调用开启对app的保护

一旦开启CSRF保护,就要设置秘钥:SECRET_KEY

csrf验证

1.表单提交方式

.服务器通过请求钩子在cookie中设置了csrf_token,实际上是在session中存储了未加密的csrf_token,并且将生成的sessionID编号存储在cookie中
在表单中我们添加了csrf的隐藏字段,在浏览器再次访问服务器时:
1.获取到表单中的csrf_token(加密的),使用secret_key进行解密,得到解密后的csrf_token

2.通过cookie中的sessionID,取到服务器内部存储的session中的csrf_token(未加密的)

3.将两者的值进行比较

 

2.ajax提交请求方式

在js里面,获取到cookie中的csrf_token,将其添加到ajax的请求头中


验证过程:

1.获取请求头中的csrf_token(加密的),然后使用secret_key解密,得到解密后csrf_token。

2.通过cookie中的sessionID,取到服务器内部存储的session中的csrf_token(未加密的)。

3.将两者的值进行比较


转载:https://blog.csdn.net/wireless911/article/details/81589202

弹琴弹琴
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django框架中ajax的使用及避开CSRF 验证的方式详解
09-18
然而,有些情况下,我们可能需要避开CSRF验证,比如在API接口或纯Ajax应用中。本文将详细介绍如何在Django中使用Ajax以及如何避免CSRF验证。 首先,让我们了解Ajax的基本原理。Ajax全称为Asynchronous JavaScript ...
关于django 1.10 CSRF验证失败的解决方法
09-18
Django 的 CSRF 验证是用于保护 Web 应用程序免受跨站请求伪造(Cross-Site Request Forgery,简称 CSRF)攻击的一种机制CSRF 攻击通常发生在用户已登录一个网站并持有有效会话(如 Cookie)的情况下,攻击者通过...
CSRF攻击预防的Token生成原理
热门推荐
陈万洲的专栏
12-30 1万+
以往我们讲到CSRF,谈及都是CSRF的攻击原理,这次讲一下预防CSRF生成Token背后的加密原理和具体实现例示。 1.Token构成。 从需求功能上来讲,为了防止CSRF工具,token需要具有不重复,另外,还含有特定的功能信息,比如过期时间戳。 下面的图描述了一个token的数据构成: Token的数据结构。 ---------------------------
<<<CSRF攻击和保护机制>>>
justzcy的博客
05-11 214
CSRF攻击和防御
CSRF 攻击实验:Token 不存在绕过验证
最新发布
Flag少侠的博客
05-15 1801
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求。CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
4-3csrf token详解以及常见的防范措施
山兔的博客
07-10 5820
CSRF(post)实验演示和解析  Anti CSRF token  常见CSRF防范措施CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!就是这个token值Ant上CSRFtoken)项目的token生成代码:当我们每次请求修改页面的时候,后台会先去调用一个函数,在实际的系统里面,会写的更复杂一点,当我们去请求页面的时候,后台会去查一下session里面,有没有tok
CSRF验证
a274521712的博客
06-29 188
基本应用 Form 表单中添加{% csrf_token %} 可以通过查询网页元素得到它的name值和value值 全站禁用 # ‘django.middleware.csrf.Csrf……’,在settings中注释该行,表示不要进行csrf验证 局部禁用 ‘django.middleware.csrf.Csrf……’,在setting...
CSRF校验机制:
weixin_42368421的博客
08-02 2831
表单提交: 需要做的事情: 1.在cookie中设置csrf_token(没有),而是sessionID(钥匙,里面session空间中存储的是未加密的csrf_token),(服务器完成) 2.在表单中设置隐藏的csrf_token(手动设置) 校验流程: 1.通过sessionID取出服务器内部未加密的csrf_token 2.获取表单中的加密的csrf_token,然后SECRET_KEY...
csrf验证
weixin_33831673的博客
02-20 164
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因...
网站小卫士--csrf机制浅见
小陈工的博客
05-07 195
最近看了一篇关于csrf机制的文章,觉得很有收获,所以自己总结了一下与大家分享 首先我们要理解一个概念,要从三个方面入手,即是什么?为什么?怎么做? 一、CSRF是什么? CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。(出...
解决django前后端分离csrf验证的问题
09-19
在模板中,如果存在表单,可以直接使用`{% csrf_token %}`模板标签,Django会自动处理CSRF验证。 ```python from django.views.decorators.csrf import ensure_csrf_cookie @ensure_csrf_cookie def render_...
Django csrf 验证问题的实现
12-23
关于 csrf 的基本了解 百度百科:CSRF(Cross-site request forgery)跨站请求伪造,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。通过伪装来自受信任用户的请求来利用受信任...Django 提供的 CSRF 防护机制 djan
yii2局部关闭(开启)csrf验证的实例代码
12-20
上一节主要是简单地说了一下关于yii2的防御csrf的攻击机制,接下来说一下关于如何全局和局部的开启使用csrf。 (1)全局使用,我们直接在配置文件中设置enableCookieValidation为true request => [ '...
Django 中 csrf 的实现机制?
m0_56477185的博客
03-02 471
Django预防CSRF攻击的方法是在用户提交的表单中加入一个csrftoken的隐含值,这个值和服务器中保存的csrftoken的值相同,这样做的原理如下: 1、在用户访问django的可信站点时,django反馈给用户的表单中有一个隐含字段csrftoken,这个值是在服务器端随机生成的,每一次提交表单都会生成不同的值 2、当用户提交django的表单时,服务器校验这个表单的csrftoken是否和自己保存的一致,来判断用户的合法性 3、当用户被csrf攻击从其他站点发送精心编制的攻击请求时,由于
CSRF原理及攻防解析(简单明了)
qq_41565526的博客
04-04 700
简单解析CSRF的原理,利用方式和防御方式
CSRF 漏洞验证
QYbkx974的博客
11-13 223
这次讲系统学习CSRF 漏洞方法二可以使用bp直接生成一个链接,比方法一要简单快捷,温馨提示不要随便点击陌生链接。
03、关于Csrf验证和解决方法
weixin_36646275的博客
09-25 361
开发十年,就只剩下这套Java开发体系了 >>>    ...
django中csrf的实现机制
06-10
Django中的CSRF(Cross-Site Request Forgery)机制可以防止跨站点请求伪造攻击。Django的CSRF机制的实现基于以下两个元素: 1. CSRF令牌:每个表单都会包含一个隐藏的CSRF令牌,这个令牌是服务器随机生成的,并且...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值