Django跨站请求伪造

最新推荐文章于 2022-08-22 15:25:31 发布
最新推荐文章于 2022-08-22 15:25:31 发布
阅读量322 收藏 2
点赞数
分类专栏: Django 总结 文章标签: 跨站请求伪造 django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdniter/article/details/96358437
版权

一、简介

django为用户实现防止跨站请求伪造的功能,通过中间件django.middleware.csrf.CsrfViewMiddleware 来完成。

当用post提交数据的时候,django会去检查是否有一个csrf的随机字符串,如果没有就会报错

1.客户端在非Django返回页面上发送post请求时,会被Django拦截,但非服务器报错

2.客户端在Django返回页面上发送post请求时,需要加上{% csrf_token %}方能发送成功
因为在之前访问服务器后,服务器发送一段字符串

第二次post请求访问需要加上{% csrf_token %}带着这个字符串认证

除此之外,还有另一种cookie认证方式,后面有讲到。

而对于django中设置防跨站请求伪造功能有分为全局和局部。

全局:

中间件 django.middleware.csrf.CsrfViewMiddleware

局部:

@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
@csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。
注:from django.views.decorators.csrf import csrf_exempt,csrf_protect

二,简单原理(个人见解,欢迎指正)

每个Django服务端settings.py源码里都有一个:

SECRET_KEY = '^!9td%%@mim%&xhfirgwivgxk!qt3dwg6vo=m*@37nkzw5uspk'

这个就是密匙,用来进行验证

首先第一次访问服务器,服务器会把密匙发给客户端(当然客户端是看不见的),客户端拿到密匙,拼接上当前客户端时间,进行md5(也可能其他的)加密,然后把这个加密信息和之前的当前客户端时间发到后台之后,后台拿到客户端当前时间和密匙也进行MD5加密,然后比较两次结果,一样则认为没有问题

所以要通过验证需要两点:

1.拿到密匙

2.根据规则加密(自动的)

3.发过去MD5加密结果(时间会自动发)

有的还加上了有效时间限制和有效时间内的次数限制(第二次相同的无效)

三、应用

1、普通表单

veiw中设置返回值:
  return render_to_response('Account/Login.html',data,context_instance=RequestContext(request))  
     或者
     return render(request, 'xxx.html', data)
  
html中设置Token:
  {% csrf_token %}
#在页面自动加上一个隐藏的input标签,不依赖form表单而存在
#<input type="hidden" name="csrfmiddlewaretoken" value="Hx9OMDpLJFsG8P7Sy6gGGh5FGXmBXywQV5JQhDPmi7HFmsDh08GILYRPNEwvGouF">

2.Ajax

对于传统的form,可以通过表单的方式将token再次发送到服务端,而对于ajax的话,使用如下方式。

第一种方式 :直接在hide标签中获取到data里并提交

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
{#<form action="/ajax/" method="post">#}
        {% csrf_token %}//不依赖form表单而存在
{#    <input type="submit">form提交#}
{#</form>#}
<script src="/static/jquery-3.3.1/jquery-3.3.1.js"></script>
<button id="q">提交</button>
<script>
    $("#q").click(function () {
        var csrf=$('input[name="csrfmiddlewaretoken"]').val();//拿到csrf的字符串
        $.ajax({
            url:"/ajax/",
            type:"POST",
            data:{"k1":"123","csrfmiddlewaretoken":csrf},
            //data:{"k1":"123","csrfmiddlewaretoken":{{csrf_token}},},不用获取
            success:function (arg) {
                console.log(arg)
            }
        })
    })
</script>

</body>
</html>

第二种方式 : 获取本地cookie相关信息,放在请求头中发送 两种方式,获取值不同
document.cookie 能获取到本地Cookie(字符串形式),如下:

“csrftoken=CibmiHzG0mFPA7EqubC0I6jqRCBJjvKbQQLoNHZhzOUOOKaPWd22NN5AYjLD2lI0”

<script src="/static/jquery-3.3.1/jquery-3.3.1.js"></script>
<script src="/static/carhartl-jquery-cookie-92b7715/jquery.cookie.js"></script>
<button id="q">提交</button>
<script>
$("#q").click(function () {//第二种方式
        var token = $.cookie('csrftoken');
        $.ajax({
            url:"/ajax/",
            type:"POST",
            headers:{"X-CSRFToken":token},
            data:{"k1":"123",},
            success:function (arg) {
                console.log(arg)
            }
        })
      })
</script>
月守护
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django CSRF跨站请求伪造防护过程解析
09-18
主要介绍了Django CSRF跨站请求伪造防护过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Django中如何防范CSRF跨站请求伪造攻击的实现
09-19
CSRF(Cross-Site Request Forgery,跨站请求伪造),是一种常见的安全攻击手段。在这种攻击中,攻击者利用受害者的身份(通常是通过受害者已登录状态下的Cookies)发起恶意请求。这些请求对于服务器而言是合法的,...
Django框架全面讲解 -- 跨站请求伪造(csrf)
shentong1的专栏
12-18 499
django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。全局:中间件 django.middleware.csrf.CsrfViewMiddleware 局部:@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中
django 跨站请求伪造
盖乌斯的博客
05-02 447
def login(request): if request.method == 'POST': user = request.POST.get('username',None) pwd = request.POST.get('password',None) if user == 'alex' and pwd =='123': request.session['is_login...
django跨站请求访问
weixin_34387468的博客
09-16 171
一、简介 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。 全局:   中间件 django.middleware.csrf.CsrfViewMiddleware 局部: @csrf_protect,为当前函数强制设置仿跨站...
django跨站请求伪造(csrf)解决方法
syuuenn的博客
06-18 334
我们写一个简单的前端网页 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>修改密码</title> </head> <body> <form method="post" action...
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
Django框架之跨站请求伪造
weixin_30578677的博客
09-04 94
跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 例如: 如果用户登录网络银行去...
django 跨站请求伪造(csrf)
lucky404的博客
03-03 239
django跨站请求伪造的中间件是在配置文件settings.py里面配置的。 如下图的红色部分就是。 已经被我注释掉了(现在我将会把它启用)这个中间件的作用是,当被认为某个用户不是自己网站的用户给网站post数据的时候,就会被服务器端禁止掉。为了就是防止那些用户从来没有访问过网站的,直接给网站post数据。要想解决这个问题就是给是属于这个网站的用户加一个标识。不是网站用户的,就不加标识...
Django之CSRF(跨站请求伪造)
weixin_34320159的博客
08-31 43
一丶什么是CSRF? CSRF是Cross Site Request Forgery的缩写,翻译过来就是跨站请求伪造。那么什么是跨站请求伪造呢?让我一个词一个词的解释: 1、跨站:顾名思义,就是从一个网站到另一个网站。 2、请求:即HTTP请求。 3、伪造:在这里可以理解为仿造、伪装。 综合起来的意思就是:从一个网站A中发起一个到网站B的请求,而这个请求...
django请求伪造(CORS)
syuuenn的博客
07-01 424
django前后端分离时,如果前端访问后端会出现如下报错。 原因是前后端分离,后端和前端处于不同的域名。 解决方法。 (1)安装第三方包 pip install django-cors-headers (2)在setting.py文件添加下列代码 添加应用 添加中间件 添加前端域名为白名单,允许携带cookie ...
Django学习记录之——csrf跨站请求伪造校验
wcy的博客
06-04 407
文章目录csrf跨站请求伪造csrf跨站请求伪造校验django完成csrf校验form表单校验ajax进行校验csrf装饰器FBVCBV csrf跨站请求伪造 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出
Django的安全特性(二) 跨站请求伪造(CSRF)保护
ckk727的博客
03-06 465
一、CSRF是什么? CSRF,中文名为跨站请求伪造,CSRF攻击指的是恶意用户盗用你的信息,以你的名义发送恶意请求。 这将包括:以你的名义发送邮件,发送信息,盗取账号,购买商品,甚至货币转账等恶性行为。 二、CSRF攻击原理 如图: 更具体的可以参阅这篇博客: CSRF攻击与防御 这里不再过多介绍。 三、在Django中使用CSRF保护 Django的CSRF中间件和相关的模板标签提供了...
Django | 安全防护】CSRF跨站请求和SQL注入攻击
计算机魔术师的blog
08-22 3960
一、演示CSRF漏洞 二、环境准备 三、模拟黑客🐱‍👤 四、解决办法 五、SQL注入攻击漏洞
Django中CSRF(跨站请求伪造
weixin_38894162的博客
01-13 181
一、简介 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。 全局: 中间件 django.middleware.csrf.CsrfViewMiddleware 局部: @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便...
Django跨站伪造请求保护措施设置方法
dapeng0802的专栏
10-17 663
注:以下内容转载自 Django跨站伪造请求保护措施设置方法 一文,仅供学习使用。         在 Django 建站中遇到 POST 提交表单提示 403 错误,发现以 POST 方式提交表单会触发 Django 内置的 csrf 保护机制,并且在 403 页面给出了解决方法,根据提示更改后发现问题依旧,网上查阅很多同学的解决方案均不能解决这个问题,所以到官网上查阅了关于csrf部
csrf 跨站请求伪造相关以及django的中间件
weixin_33827731的博客
02-05 102
django为用户实现防止跨站请求伪造的功能,通过中间件django.middleware.csrf.CsrfViewMiddleware来完成。 1.django中常用的中间件? - process_request - process_view - process_response - process_exception - process...
Django中的CSRF(跨站请求伪造)
最新发布
05-21
Django中的CSRF是一种安全机制,可以防止跨站请求伪造攻击。在Django中,默认情况下,所有的POST、PUT、DELETE请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。 具体来说,Django在生成表单时会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值