CSRF笔记

最新推荐文章于 2021-10-10 16:34:30 发布
最新推荐文章于 2021-10-10 16:34:30 发布
阅读量224 收藏
点赞数
分类专栏: Python自动化开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/douyunqian668/article/details/53014405
版权

CSRF_

笔记要点


内兜和外兜


 Form请求和Ajax请求

代码如下:



<!DOCTYPE html>
<html>
<head lang="en">
    <meta charset="UTF-8">
    <title></title>
</head>
<body>


        <form action="/csrm/" method="POST">
                {% csrf_token %}
                <input name="v" type="text">
                <input type="submit" value="提交">




        </form>
        <input value="提交2" type="button" οnclick="Aja();">
        <script src="/static/jquery-1.12.4.js"></script>
        <script src="/static/jquery.cookie.js"></script>
        <script>
{#            获取cookie#}
            var csrftoken= $.cookie("csrftoken");
            function csrfSafeMethod(method){
                return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
            }
        $.ajaxSetup({
            beforeSend:function(xhr,settings)
            {
                console.log("Good");
                if(!csrfSafeMethod(settings.type) && !this.crossDomain)
                {
                    xhr.setRequestHeader("X-CSRFToken",csrftoken);
                }


            }


        });




            function Aja(){
                 console.log("Good2");
            var vals=$(":text").val();
            $.ajax({
                url:"/csrm/",
                type:"POST",
                data:{"name":vals,"k1":"v1"},
                success:function(data)
                {
                    console.log(data);


                }








            })


        }


        </script>
</body>
</html>


from django.views.decorators.csrf import csrf_exempt,csrf_protect 两个装饰器

第一个是同意CSRF不需要请求,另一个是需要请求




douyunqian668
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全】CSRF详解
2201_75857562的博客
03-09 2631
跨站请求伪造,冒用Cookie中的信息,发起请求攻击。CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。为了更好的防御CSRF,最佳实践应该是结合上面总结的防御措施方式中的优缺点来综合考虑,结合当前Web应用程序自身的情况做合适的选择,才能更好的预防CSRF的发生。
csrf学习笔记
weixin_30260399的博客
07-14 167
  CSRF全称Cross Site Request Forgery,即跨站点请求伪造。我们知道,攻击时常常伴随着各种各样的请求,而攻击的发生也是由各种请求造成的。   CSRF攻击能够达到的目的是使受害者发出由攻击者伪造的请求。      CSRF能做的事情大概如下:   1)篡改目标网站上的用户数据;       2)盗取用户隐私数据;   3)作为其他攻击向量的辅助攻击手法; ...
CSRF学习笔记
qq_52560434的博客
10-10 1512
文章目录前言一、CSRF是什么?二、CSRF的攻击原理2.读入数据总结 前言 CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI…本篇文章就CSRF漏洞的基础部分来进行介绍。 以下是本篇文章正文内容 一、CSRF是什么? 跨站请求伪造(英语:Cross-site request forger
前端笔记
08-22
学习防止XSS(跨站脚本攻击)、CSRF(跨站请求伪造)、SQL注入等常见的前端安全问题,以及如何应用安全的最佳实践。 总之,【前端笔记】包含了前端开发中的核心知识点,是学习和面试的重要参考资料,通过系统学习和...
AHPU云笔记
09-30
7. **安全性考虑**:作为一个Web应用,AHPU云笔记需要处理用户登录和权限验证,可能使用了HTTPS协议保障数据传输安全,同时可能运用了CSRF(跨站请求伪造)和XSS(跨站脚本攻击)防护措施。 8. **部署与运行**:war...
javaweb笔记.pdf
最新发布
11-29
* CSRF:跨站请求伪造,攻击者通过伪造用户请求来获取敏感信息。 五、JavaWeb开发性能优化 * 什么是性能优化?性能优化是指通过优化Web应用程序的代码和配置来提高其响应速度和处理能力。 * 如何进行性能优化?...
学习文档笔记
05-08
此外,网络安全和性能优化也是不容忽视的章节,比如HTTP状态码的理解、XSS和CSRF攻击的防范,以及如何通过优化代码和使用CDN提高网站速度。 最后,可能还会介绍一些开发环境的配置,如VS Code或IntelliJ IDEA的插件...
spring笔记.zip
12-21
Spring Security是Spring生态系统的安全模块,它提供了一套全面的安全解决方案,包括认证、授权、CSRF防护等,帮助开发者轻松地实现应用的安全性。 Spring Cloud则是一系列工具的集合,用于构建分布式系统,如服务...
CSRF漏洞笔记
公众号shadow sock7
06-30 362
这几次面试屡次被问到CSRF漏洞,之前命名很久之前是知道的,后来没有挖到有可以利用的地方于是没有去研究了,其实意思就是在用户不知情的情况下伪造了以用户身份发起的请求嘛。 //TODO
关于CSRF
坑底Z蛙
09-19 132
As an example, let’s say that an email provider lets you delete your account by submitting a form. The form sends a POST request to an account_delete endpoint on their server and deletes the account t...
CSRF
weixin_54475242的博客
03-23 312
CSRF漏洞 XSS: 利用用户对站点的信任 CSRF:利用站点对已经身份认证的信任 原理: 结合社工在身份认证会话过程中实现攻击(诱使已经身份认证的用户点击链接,便会执行请求): 1.修改账号密码,个人信息(email,收货地址) 2.发送伪造的业务请求(网银,购物,投票) 3.关注他人社交账号,推送博文 4.在用户非自愿,不知情的情况下提交请求 业务逻辑漏洞: 对关键操作(例如修改密码,修改身份信息等)缺少确认机制(验证码等) 自动扫描程序无法发现此类漏洞(是正常的访问请求,在服务器看来就是合法用
C语言笔记:信息安全、Web渗透测试和编程基础
常用的渗透测试方法包括SQL注入、xss跨站、CSRF伪造请求、命令执行等。OWASP Top 10是信息安全漏洞的排名榜单,包括Injection、Broken Authentication、Sensitive Data Exposure等十大漏洞。 信息安全岗位的核心...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值