Django csrf 的源码流程和分析中间件怎么预防 CSRF 攻击

最新推荐文章于 2024-04-28 20:31:22 发布
最新推荐文章于 2024-04-28 20:31:22 发布
阅读量249 收藏
点赞数
分类专栏: Django # csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cpxsxn/article/details/98184681
版权
Django 同时被 2 个专栏收录
48 篇文章 2 订阅
订阅专栏
csrf
2 篇文章 0 订阅
订阅专栏

通过分析中间件 django\middleware\csrf.py 中的 process_view 的流程:

  1. 在 settings.py 中 ‘django.middleware.csrf.CsrfViewMiddleware’ 中间件被启用,才会走到上述文件

  2. 读取 请求中的 cookie 的 settings.CSRF_COOKIE_NAME 即 csrftoken ,赋值给 csrf_token

  3. 尝试读取 请求中的 csrfmiddlewaretoken 赋值给 request_csrf_token:
    request_csrf_token = request.POST.get(‘csrfmiddlewaretoken’, ‘’)
    (这是为了能处理: 通过模板渲染的表单提交 POST 请求的情况)
    如果没读取到,则会读取请求头中的 HTTP_X_CSRFTOKEN (这是为了能处理: 通过 js 代码,发送 POST 请求的情况)
    注:Django 框架会把原请求头中的 X-CSRFToken 封装为 HTTP_X_CSRFTOKEN

  4. 然后比较 request_csrf_token 和 csrf_token 是否一样,一样的话就可以通过 crsf 的检查。

结论:说白了比较的就是比较 (cookie 中 csrftoken 的值) 和 (纯表单提交中的csrfmiddlewaretoken 或 JS 发的请求头中的 X-CSRFToken)的值是否一样
整个过程根本没有和数据库中的什么比较。
所以前后端分离后即后端没有了模板渲染, 如果前端要发 POST 请求(指的是 js 发 POST 请求),
需要前端工程师手动的在请求头中添加 X-CSRFToken,对应的值通过 js 读 cookie 取到

基于上述结论:你完全可以通过代码构造请求来满足上述的检查,而请求头的 cookie 中的 csrftoken 和 和请求头的 X-CSRFToken 的值可以随意填写

url = "http://192.168.56.101:8082/data/student_data/"
input_dict = {'name':'cheng', 'age':23}
res = requests.post(url, data=input_dict,
					# headers={'X-CSRFToken':'F0S0sHIXOAF9pjwpn78EB5ZjxvOO4c7I','Cookie': 'csrftoken=F0S0sHIXOAF9pjwpn78EB5ZjxvOO4c7I'})
					headers={'X-CSRFToken':'mycsrftokenabc','Cookie': 'csrftoken=mycsrftokenabc'})
print 'type(res.headers) = {0}, res.headers = {1}'.format(type(res.headers), res.headers)
print 'type(res.text) = {0}, res.text = {1}'.format(type(res.text), res.text)
print 'res.status_code = {0}'.format(res.status_code)

在了解了 Django 框架的 CSRF 的认证机制后,来谈一下该机制怎么规避 CSRF 攻击:
CSRF攻击攻击原理及过程如下:

  1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;
  2. 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
  3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
  4. 网站B接收到用户请求后,返回一些攻击性代码(更准确的说是静态资源 < img src=“http://domain A/eg_tulip.jpg” />),并发出一个请求要求访问第三方站点A;
  5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。

注意看第 5 步:
攻击代码携带网站 A 的 cookie 信息向网站 A 发送请求(因为攻击代码是运行在浏览器里的,所以当向网站A 发送请求时自然会携带上网站 A 的 cookie即携带了 sessionid 和 crsftoken):
如果在 Django 的后端使能了 django.middleware.csrf.CsrfViewMiddleware 中间件,则该请求就会被终止(虽然 sessionid 是准确的)。
因为 POST 请求中没有携带 csrfmiddlewaretoken ,而请求头的 cookie 中带有 csrftoken。
所以后端获取不到 csrfmiddlewaretoken;然后尝试去请求头中获取 HTTP_X_CSRFTOKEN ,也没有获取到值,
所以自然和 cookie 中的 crsftoken 比较就会失败即请求失败!

你可能会说:我直接手动代码模拟 POST 请求(像上面的 demo 一样,在请求头中写入自己随意编写的 crsftoken 和 HTTP_X_CSRFTOKEN),这样请求也会失败,因为你这样操作虽然能避开 django.middleware.csrf.CsrfViewMiddleware 中间件的检查,但是由于请求中没有 sessionid (因为你的代码是运行在本地的,所以没办法知道网站 A 的 sessionid 是什么。当然假设你不能 F12 查看合法用户访问网站 A时的浏览器), 所以会失败在 session 验证这一步。

也许你会想过有没有一种办法可以让 js 代码把 网站 A 的 cookie 里的内容,发给网站 B?其实是没有的,这是因为浏览器层面有隔离。

所以现在看起来 Django 框架还是很严谨的哦,通过在浏览器的 cookie 中写入 crsftoken 和 sessionid 双认证来确保网站的安全。

Djangocsrf中间件源码解析
sinat_30812239的博客
08-02 338
Djangocsrf中间件源码解析:'django.middleware.csrf.CsrfViewMiddleware', """ Cross Site Request Forgery Middleware. This module provides a middleware that implements protection against request forgeries from ...
Django 024】中间件Middleware(三):Django自带csrf中间件源码分析以及跳过csrf报错的四种方法
T型人小付的博客
04-17 1111
Django作为一个重量级框架,其已经事先为我们内置了很多安全模块,CSRF中间件就是其中之一。那么究竟什么是CSRF,其中间件工作原理是怎样的,我们又应该如何去使用CSRF呢。这一篇文章我们一起来深入学习一下。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录什么是CSRFCSRF的防范策略Django中的...
利用django中间件CsrfViewMiddleware防止csrf攻击
weixin_30851867的博客
10-09 747
一、在django后台处理 1、将django的setting中的加入django.contrib.messages.middleware.MessageMiddleware,一般新建的django项目中会自带的。 MIDDLEWARE_CLASSES = [ 'django.middleware.security.SecurityMiddleware', 'django.cont...
django中间件以及解决csrf
weixin_30883777的博客
01-24 121
  一.中间件,顾名思义,是介于request与response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出.因为改变的是全局,所以需要谨慎使用,用不好会影响到性能.   怎么用:     自定义中间件:       1.写一个类,继承MiddlewareMixin,       2.在类中写方法:         precess_request  ...
Django 之前端获取 csrftoken 的几种方式以及源码解释(超详细)
她°
06-10 4809
如果是前后端不分离的项目,django 为了防止 XSS 攻击,要求所有 form 表单提交时加上 标签,前端会再 html 中加入一个 input 标签 这个中间件就是来验证 csrf_token 如果没有加,就会出错,这个 token 每次刷新页面时都会刷新,客户在请求时。会再服务器端生成一个 token,然后放在 cookie里面,每次 post 请求都会带上这个 token,去和表单里面的去对比。官⽅⽂档中说到,检验token时,只⽐较secret是否和cookie中的secret值⼀样,⽽不是
Djangocsrf跨站请求伪造,auth认证模块
weixin_30846599的博客
06-21 184
一.csrf跨站请求伪造: 用钓鱼网站模仿正规网站从而达到瞒天过海的操作,具体的操作如下: 首先,开一个正规网站服务器(为了模仿钓鱼,把csrf中间件关了): 视图: def index(request): username = request.POST.get('username') money = reque...
Django 中间件csrf跨站请求
go|Python的个人博客
02-28 723
文章目录Django框架的第十一次叒叕Django中间件自定义中间件csrf中间件介绍csrf校验使用csrf相关装饰器importlib基于Django中间件的重要编程思想 Django框架的第十一次叒叕 Django中间件 按照官方说法:Django中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用在全局范围内改变Django的输入和输出。每个中间件组件都负责做一些特定的功能。 简单点说Django中间件就是Django的门户,主要功能有两点 请求来的时
Django为例谈谈XSS和CSRF攻击
Deft_MKJing的博客
05-19 1044
前言 在Web安全领域,XSS和CSRF两个是最常见的攻击方式,由于最近在研究Django框架,阅读源码的同时分析下这两个攻击攻击方式和防御方式 XSS XSS,即 Cross Site Script,中译是跨站脚本攻击;在别人的站点嵌入脚本,而这个脚本原来不是属于这个站点的,所以叫跨站脚本,其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安...
详解DjangoCSRF认证实现
09-20
Django的`CsrfViewMiddleware`源码中,`_accept` 方法用于标记请求已完成CSRF处理,而其他方法如`_reject`、`process_view`等则涉及实际的CSRF检查和处理。例如,`process_view`会检查请求类型是否需要CSRF保护,并...
Django网络安全】如何正确防护CSRF跨站点请求伪造_drf csrf
最新发布
2301_77033672的博客
04-28 765
CSRF(Cross-site request forgery),中文名跨站点请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器中的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
一起学习Django框架(十)Django中间件;浅谈CSRF_TOKEN
Simple子夜
04-18 1446
目录Django中间件(MiddleWare)一、什么是中间件二、中间件的作用三、自定义中间件3.1 process_request与process_response方法3.2 process_view方法3.3 process_exception3.4 process_template_responseCSRF_TOKEN一、CSRF是什么二、CSRF攻击原理三、CSRF攻击防范 Django中间件(MiddleWare) 中间件本身是一个很大的范围,比如:数据库中间件、服务器中间件、消息队列中间件等等
DjangoCSRF攻击原理及其防御方式
Shaun_X
03-18 946
攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。
3-3.http 请求头Content-Type 为 multipart/form-data
热门推荐
cpxsxn的博客
03-29 1万+
本文测试 Content-Type 为 multipart/form-data 的请求详情: 前端页面模仿用户输入:用户名、密码、性别、爱好、城市、上次文件等,可以看到请求头中: Content-Type multipart/form-data; boundary=---------------------------217751028913459671582016487482 消息头: 请求: ...
3-2.http 请求头Content-Type 为application/x-www-form-urlencoded
cpxsxn的博客
03-29 7556
本文测试 Content-Type 为 multipart/form-data 的请求详情: 前端页面模仿用户输入:用户名、密码、性别、爱好、城市、等,可以看到请求头中 前端的HTML内容: 后端的打印:后端是 Django 项目,没有引入DjangoRestFramework INFO 2022-03-29 13:27:59,690 view 19440 140219944793856 In helloFrontLabelBase, To test the text/radio/checkbox/fil
Python socket 访问网站发送 HTTP POST请求,从而深刻理解 HTTP 协议
cpxsxn的博客
08-02 6403
用最原始的包 socket 来居然可以访问网站模拟发送 POST 请求,这是对最大的收获。 更进一步的参考 https://www.jianshu.com/p/f196c74e72dd import socket input_dict = {'name':'cheng', 'age':23} s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s....
curl -u 背后的内容以及和 Django rest framework 的 BasicAuthentication 的呼应
cpxsxn的博客
06-27 5811
curl -u 的基本介绍 curl 是常用的命令行工具,用来请求 Web 服务器。它的名字就是客户端(client)的 URL 工具的意思。它的功能非常强大,命令行参数多达几十种。如果熟练的话,完全可以取代 Postman 这一类的图形界面工具。 -u参数用来设置服务器认证的用户名和密码。 $ curl -u 'bob:12345' https://google.com/login 上面命令设置用户名为 bob,密码为12345,然后将其转为 HTTP 标头Authorization: Basic Ym
Django的 auth 模块讲解和装饰器 permission_required 的源码流程
cpxsxn的博客
09-03 4599
Django的auth系统提供了模型级的权限控制, 即可以检查用户是否对某个数据表拥有增(add), 改(change), 删(delete)权限。 (auth系统无法提供对象级的权限控制, 即检查用户是否对数据表中某条记录拥有增改删的权限,如果需要对象级权限控制可以使用django-guardian)。
MySQL 模糊搜索 LIKE BINARY 和 LIKE
cpxsxn的博客
04-01 3918
MySQL 模糊搜索 LIKE 是否区分大小写,取决于表的 COLLATE, 默认是不区分大小写的, 如果 COLLATE=utf8_bin 即二进制形式就是区分大小写的。 在 ORM 中过滤的时候会写 xxx.objects.filter(name__contains=‘sxn’) 和 xxx.objects.filter(name__icontains=‘sxn’) 转成的 SQL分别是: LIKE BINARY 和 LIKE
Django的 auth_permission 的自定义权限
cpxsxn的博客
10-16 3864
只需要在Model 里的 Meta 类里面增加 permissions,然后执行 python manage.py makgemigrations python manage.py migrate 就会在 auth_permission 表中增加实例 D:\xxx\djangoTest\robappdj\TestModel\models.py class BankContact(models.Mo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值