csrf跨域攻击

最新推荐文章于 2023-01-30 00:12:13 发布
最新推荐文章于 2023-01-30 00:12:13 发布
阅读量118 收藏
点赞数
文章标签: python 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dremcl/article/details/104795135
版权

csrf攻击原理

请求响应:
从正规网站上注册信息等等,网站会给用户返回一个csrf_token,当用户注册的信息发送时,会带着csrf_token一起返回,若返回的csrf_token一致,则成功,若不一致,则没有响应。钓鱼网站不会有csrf_token!

实例

1 首先在model中定义一个表结构,打开终端,生成迁移文件:
python manage.py makemigrations
python manage.py migrate
2 刷新数据库:会出现user_user表单
3 设置路由和视图函数(导包):
4 定义html:
5 启动服务,输入register,提交用户密码,返回注册成功,打开表单,存储成功!(在启动时,要将settings中的CSRF注释掉或在html中添加{% csrf_token %})
6 钓鱼网的设置:
将HTML复制一份,修改action,输入网址,ctrl+shift+f10,启动服务,网址地址更换,注册信息仍可以成功!刷新数据库仍可找到

7 把settings中的csrf开启,重启服务,返回403!
8 为了防止正规的网址也出现403,我们在form里添加:
{% csrf_token %}

代码:

1 model

from django.db import models

# Create your models here.

class User(models.Model):
    username=models.CharField(max_length=16)
    password=models.CharField(max_length=16)

3.路由与视图函数:

 path('register',views.register_handler,name='register'),


from django.shortcuts import render,HttpResponse
from user.models import User   # 导包
def register_handler(request):
    if request.method =='GET':
        return render(request,'register.html')
    else:
        username=request.POST.get('username')
        password=request.POST.get('password')
        # 实例化对象:
        # user= User()
        # user.username = username
        # user.password = password
        # user.save() # 可简写成:
        User(username=username,password=password).save()
        return HttpResponse('注册成功') # 返回结果视图

4 HTML

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="{% url 'register' %}" method="post">
    {% csrf_token %}
    username
    <input type="text" name="username"><br/>
    password
    <input type="password" name="password"><br/>
    <input type="submit" value="submit">
</form>
</body>
</html>

6 钓鱼网站的设定只有一点不同:

<form action="http://127.0.0.1:8000/register" method="post">
dremcl
关注
CSRF 跨域
ywn0601的博客
01-12 542
了解CSRF跨域
CSRF跨域攻击及预防
song_myth的博客
08-11 791
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状   C
CSRF 跨域攻击
avz72927的博客
03-22 135
跨域请求和Ajax技术都会极大地提高页面的体验,但同时也会带来安全的隐患,其中最主要的隐患来自于CSRF(Cross-site request forgery)跨站请求伪造。 CSRF攻击的大致原理是: 用户通过浏览器,访问正常网站A(例如某银行),通过用户的身份认证(比如用户名/密码)成功A网站。 网站A产生Cookie信息并返回给用户的浏览器; 用户保持A网站页面登录状...
CSRF 攻击跨域攻击
weixin_43947156的博客
05-31 133
https://www.cnblogs.com/renhui/p/10200033.html
跨域CSRF攻击
刘旭濠的博客
06-08 1952
作者:刘旭濠 跨域每个程序员都要掌握的一门知识,其实我一开始也不知道什么是跨域甚至是第一次听到好奇这是啥玩意(毕竟我还是小白一个)不过看了网上一堆资料虽然有点乱但是还是理解了一些,那么我来分享一下我的理解吧,那么什么是跨域跨域就是指浏览器不能执行其他网站脚本,是对浏览器对JavaScript加的安全限制,为什么要限制呢,那就是怕CSRF攻击,至于CSRF攻击是什么接下来也会讲到的。 那么我就这样...
CSRF(跨域请求伪造)和XSS(跨域脚本攻击)的概念和防范措施
tscn1的博客
03-22 1048
这里写目录标题CSRF(跨域请求伪造)原理:防御cookie的sameSite验证referer和Origin二次验证使用非cookie令牌XSS(跨域脚本攻击)存储型XSS反射型DOM型 CSRF(跨域请求伪造) 恶意网站以正常用户为媒介,通过模拟正常用户的操作,攻击其登录过的网站。 原理: 1. 正常用户登录后,获得正常站点的令牌,以cookie的形式保存。 2. 用户访问恶意站点,恶意站点通过某种形式去请求了正常网站,然后将用户的令牌传递到正常网站,完成攻击。 防御 cookie的sameSite
CSRF跨域请求伪造)理解的很通透
weixin_46865273的博客
05-04 1139
声明:本篇文章来自:https://my.oschina.net/jasonultimate/blog/212554 一、什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是跨站请求伪造。那么什么是跨站请求伪造呢?让我一个词一个词的解释: 1、跨站:顾名思义,就是从一个网站到另一个网站。 2、请求:即HTTP请求。 3、伪造:在这里可以理解为仿造、伪装。 综合起来的意思就是:从一个网站A中发起一个到网站B的请求,而这个请求是经过了伪装的,伪装操作达到的目的就是
CSRF 攻击
无知小九的博客
08-10 1797
这种方法解决了使用 cookie 单一验证方式时,可能会被冒用的问题,但是这种方法存在一个缺点就是,我们需要给网站中的所有请求都添加上这个 token,操作比较繁琐。第三种方式使用双重 Cookie 验证的办法,服务器在用户访问网站页面时,向请求域名注入一个Cookie,内容为随机字符串,然后当用户再次向服务器发送请求的时候,从 cookie 中取出这个字符串,添加到 URL 参数中,然后服务器通过对 cookie 中的数据和参数中的数据进行比较,来进行验证。同时这种方式不能做到子域名的隔离。...
CSRF 伪造跨域请求
最新发布
技术的搬运工
01-30 525
伪造跨域请求(英语:Cross-site request forgery),通常缩写为CSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
CSRF跨域攻击实例与防范
weixin_52224421的博客
01-20 567
CSRF跨域攻击实例与防范
跨站请求伪造(CSRF攻击是什么?如何防御?
fe_watermelon的博客
08-09 2253
我是前端西瓜哥,今天来学习 CSRFCSRF,跨站请求伪造,英文全称为 Cross-site request forgery。也可称为 XSRF。CSRF 攻击。当我们成功登录一个网站时,其实浏览器在这个网站域名下保存好了,通常通过 cookies 保存。登录后,我们的在当前域名下发起请求就会带上 cookie,服务器就通过它来确定你对应哪个用户,允许你去执行一些涉及到个人隐私的操作。浏览器的一个机制:访问了一个 url,会带上对应域名的 Cookies,这就给了 CSRF 可乘之机。...
什么是跨域?什么是CSRF?
weixin_33758863的博客
04-02 176
(参考链接:https://www.jianshu.com/p/f880878c1398) 什么是跨域?   在 HTML 中,<a>, <form>, <img>, <script>, <iframe>, <link> 等标签以及 Ajax 都可以指向一个资源地址,而所谓的跨域请求就是指:当前发起请求的域与该请求指向的资...
CSRF简述-跨域解决方案CORS
Static_HackSun的博客
05-05 557
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚...
【Go开源宝藏】CORS 跨域CSRF攻击 | 中间件
面向生活编程
10-17 2370
【Go开源宝藏】CORS 跨域
CSRF(跨站请求伪造)的理解
移动端开发干货分享
04-15 560
原文:https://my.oschina.net/jasonultimate/blog/212554 下班的时候跟公司大神一起走,问了他几个问题,接着就给我讲了XSS攻击CSRF攻击,他通过举例子的方式讲解,通俗易懂,感觉收获很大!又学到了一些新知识,心里特别高兴,为了防止我这个脑子很快就忘掉,所以趁着热乎,写下来,方便以后回顾一下~ 一、什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是跨站请求伪造。那么什么是跨站请求伪造呢?让我一个词一个词的.
安全开发之CSRF(跨域请求伪造)
XZ85201的博客
05-20 1329
概念:CSRF(Cross Site Request Forgery)跨域请求伪造,顾名思义,是在跨域的基础上利用伪造请求而达成的一种攻击手段。
CSRF攻击详解:苏醒的巨人
根据恶意站点与目标站点是否在同一域名下,CSRF可分为同域CSRF跨域CSRF。 2. CSRF攻击与基于CSRF攻击 CSRF攻击可以实现对目标站点的多种操作,包括但不限于删除数据、修改信息、创建新内容等。攻击者可以设计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值