Csrf

最新推荐文章于 2024-09-25 09:59:34 发布
最新推荐文章于 2024-09-25 09:59:34 发布
阅读量66 收藏
点赞数
文章标签: python
原文链接:http://www.cnblogs.com/xinjie123/p/10962584.html
版权

csrf中间件

  csrf跨站请求伪造

  Django框架中请求伪造保护机制

装饰器

from django.views.decorators.csrf import csrf_exempt,csrf_protect
  • csrf_exempt 加在视图上,表示当前视图不进行csrf校验
  • csrf_protect 加在视图上,表示当前视图进行csrf校验

注意点:

CBV情况,csrf_exempt装饰器要加在dispatch上

  • process_request(self, request):

    从cookie中获取csrftoken的值 —— 》 request.META['CSRF_COOKIE']

  • process_view:
  1. 判断视图是否加上csrf_exempt,
    1. 有就不在进行csrf校验
    2. 没有继续进行校验
  2. 判断请求方式是'GET', 'HEAD', 'OPTIONS', 'TRACE',
    1. 是的话,不进行校验
    2. 不是的话,进行校验

   3.进行校验的:

1、

csrf_token = request.META.get('CSRF_COOKIE')   #  csrf_token = cookie中获取csrftoken的值

2、

先尝试从request.POST获取csrfmiddlewaretoken对应的值
request_csrf_token = request.POST.get('csrfmiddlewaretoken', '')  # 获取隐藏标签的csrfmiddlewaretoken对应的值
再尝试从请求头中获取X-csrftoken的值
request_csrf_token = request.META.get(settings.CSRF_HEADER_NAME, '')

3、拿csrf_token和request_csrf_token 进行对比

  1. 对比成功,校验成功

  2. 对比不成功,校验失败,拒绝

 

转载于:https://www.cnblogs.com/xinjie123/p/10962584.html

depon0000
关注
anti-csrf:功能齐全的反CSRF
04-29
CSRF库 动机 没有好的会话驱动的CSRF预防库。 好的,我们的意思是: 可以将CSRF令牌限制为以下任意一项或全部: 一个特定的会议 特定的HTTP URI 特定的IP地址(可选) 可以存储多个CSRF令牌 CSRF令牌在使用一...
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat 防止跨站请求伪造(CSRF)机制浅析 在 Web 应用开发中,跨站请求伪造(CSRF)是一种常见的安全威胁。跨站请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行...
Go语言Gin框架安全加固:全面解析SQL注入、XSS与CSRF的解决方案
热门推荐
qq_35716689的博客
02-04 37万+
在使用 Gin 框架处理前端请求数据时,必须关注安全性问题,以防范常见的攻击。作者: 鼠鼠我捏,要死了捏
CSRF
时光偏执的博客
01-16 1万+
CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。 CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 防止 CSRF 攻击 步骤 在客户端向...
CSRF 攻击详解
只为成功找方法 不为失败找借口
05-22 2309
禁用 CSRF 保护有其合理的应用场景,特别是在开发 RESTful API、使用其他防护措施、内部应用和非浏览器客户端时。然而,需要谨慎对待这个决定,并确保在适当的场景中启用 CSRF 保护,以防范潜在的安全风险。
CSRF漏洞
ytdd66的博客
03-28 969
CSRF漏洞(跨站请求伪造)是一种网络的攻击方式,也被称为One Click Attack或者Session Riding,是一种挟制用户在当前已登录的Web应用程序上执行的非本意操作的攻击方法。与XSS相比,XSS利用用户对指定网站的信任,CSRF利用网站对用户网页浏览器的信任。Token(令牌)是一种特殊的数据结构或对象,它通常用于身份验证、授权和数据传输等领域。在身份验证和授权方面,Token是一种用于验证用户身份和授权访问资源的凭证。
CSRF 漏洞
Just a Blog
03-26 930
CSRF 漏洞
CSRF攻击
一心一意码代码
03-13 569
一、什么是CSRF 攻击? 全称是Cross Site Request Forgery,即跨站请求伪造。利用用户已经登录的状态,跨站点发起伪造的请求。一般会诱导用户点击进黑客的网页。 特点: 跨站点的请求 请求是伪造的 利用用户的登录状态 二、CSRF类型 2.1 按照请求类型分为GET型和POST型。 例: GET型 目标网站A:www.a.com、恶意网站:B:www.b.com 攻击步骤 在恶意网站上编写代码<img src=http://www.a.com/blog/del?id=1&g
DVWA 之 CSRF
RexHa的博客
09-30 7714
CSRF,跨站域请求伪造,通常攻击者会伪造一个场景(例如一条链接),来诱使用户点击,用户一旦点击,黑客的攻击目的也就达到了,他可以盗用你的身份,以你的名义发送恶意请求。
CSRF Token 原理
weixin_52268321的博客
07-29 370
CSRF 攻击成功的关键是,恶意网站让浏览器自动发起一个请求,,正常网站拿到 cookie 后会认为这是正常用户,就允许请求。
csrf的详解
sheji888的专栏
08-29 1284
CSRF攻击的核心在于利用用户在目标网站上已经认证的身份(如登录状态),在用户不知情的情况下,以用户的名义向目标网站发送恶意请求。这种攻击通常通过伪装成用户正常访问的页面,并在其中嵌入恶意请求来实现。Django作为一个成熟的Web框架,内置了CSRF保护机制,通过一系列的措施来防止此类攻击的发生。
csrftoken
rikka
10-28 1147
csrftoken CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息。 解决csrf攻击的最...
解决django前后端分离csrf验证的问题
09-19
在前后端分离的Web开发模式下,Django的CSRF(Cross Site Request Forgery,跨站请求伪造)保护机制可能会引发问题,因为它主要是为传统的基于表单的提交设计的。然而,现代应用往往使用Ajax进行异步通信,这就需要...
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF问题 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户...
【工具】Windows|两款开源桌面窗口管理小工具Deskpins和WindowTop
qq_46106285的博客
09-21 861
写这篇的初衷是怕自己忘了这两个工具的名字。
简单题101. 对称二叉树 (python)20240922
Sep21m_wyy的博客
09-22 303
【代码】简单题101. 对称二叉树 (python)20240922。
ubuntu安装libtorch
最新发布
meng_152634的博客
09-25 550
nouveau是由第三方为NVIDIA显卡开发的一个开源3D驱动,ubuntu默认集成了nouveau驱动,安装NVIDIA驱动前必须禁用系统自带的显卡驱动nouveau,否则安装NVIDIA驱动时会报错。,一定要确定好安装的CUDA版本是否支持显卡的算力,否则安装成功也无法使用GPU加速。如果cmake版本低于3.18,会出现下面的报错,这是由于低于3.18的cmake不支持CUDA17的编译,需要更新cmake版本。因为安装的CUDA版本为12.1,这里选择最新版的CUDNN 9.4.0进行安装。
python获取滑块验证码需要滑动的距离
qq_62975494的博客
09-20 556
我们发现图片是base64格式通过API直接发送。
CSRF攻击与防御策略详解
跨站请求伪造(Cross-Site Request Forgery, CSRF)是一种常见的网络攻击手段,它利用受害者在已登录状态下对受信任网站的交互,未经授权执行恶意操作。攻击者通过在受害者的浏览器中植入脚本或者引导受害者点击含有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值