django如何阻止CSRF的使用

已于 2022-11-23 22:25:47 修改
阅读量923 收藏 2
点赞数 2
分类专栏: Django 文章标签: django csrf python ajax csrf_project
于 2022-11-23 22:24:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eagle5063/article/details/128009097
版权

前言

CSRF 是指跨站请求伪造,跨站请求伪造的问题在于,服务器信任来自客户端的数据

如果没有 CSRF 面临的风险是:

跨站请求伪造是指攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息。

Django中常规使用Csrf

一般是和Form表单结合使用。

在Form 表单中添加 {% csrf_token %} 可以生产一个隐藏的input标签,含有csrf 随机token串,如果不放这个,会403 Forbidden 报错

具体使用详见 【Django中的CSRF使用及ajax请求接口时问题总结

该链接文章也介绍如何在在Ajax中使用CSRF

Django如何实现的呢?

1、通过全局配置的中间件

django.middleware.csrf.CsrfViewMiddleware

2、可以局部在某个view视图上设置

from django.views.decorators.csrf import csrf_protect

@csrf_project
def index(request):
    pass

注意: 这个装饰器和中间件不冲突,如果注释中间件,它也是生效的

Django中如何禁用CSRF

1、注释掉settings.py中MIDDLEWARE中配置的

MIDDLEWARE = [
    # django.middleware.csrf.CsrfViewMiddleware
]

当然这里注释是全局性的,但是局部的想要开启,可以通过上面的 csrf_project 装饰器实现

2、csrf_project 局部开启,对应的是 csrf_exempt 局部禁用

from django.views.decorators.csrf import csrf_protect, csrf_exempt

@csrf_exempt
def index(request):
    pass

上面是针对函数式视图(FBV)添加,类视图(CBV)有所不同

Django 类视图禁用CSRF

在类视图上禁用CSRF ,核心是在dispatch 方法上使用 csrf_exempt, 可以直接使用,也可以使用 method_decorator 装饰器作用在类上实现

Demo演示为

from django.views import View
from django.utils.decorators import method_decorator 
from django.views.decorators.csrf import csrf_protect, csrf_exempt


class IndexView(View):
    @csrf_exempt
    def dispatch(self, request):
        pass
    
    def get(self, reqeust):
        pass
    
    def post(self, reqeust):
        pass

除了在类的方法上添加之外,也可以直接在类上添加,然后通过 method_decoratorname 属性执行方法名

@method_decorator(csrf_exempt, name='dispatch')
class IndexView(View):
    @csrf_exempt

通过中间件白名单实现禁用

我们知道中间件是在Django的request和response过程中对请求进行梳理的

所以这里撰写一个中间件,如果对应的白名单 中存在URL,则对其进行CSRF的禁用

# blog/middleware.py
import re
from django.conf import settings
from django.utils.deprecation import MiddlewareMixin


class BlogIgnoreCsrfMiddleware(MiddlewareMixin):
    def process_request(self, request, *args, **kwargs):
        if hasattr(settings, 'URL_IGNORE_CSRF_LIST'):
            url_ignore_list = settings.URL_IGNORE_CSRF_LIST
        else:
            url_ignore_list = []

        for u in url_ignore_list:
            if re.match(u, request.path):
                print(request.path, u)
                request.csrf_processing_done = True

然后再 settings.py 中配置

MIDDLEWARE = [
    # 放到第一个位置
    'blog.middleware.BlogIgnoreCsrfMiddleware',
    ... ...
]

URL_IGNORE_CSRF_LIST = [r'^/blog/post/[0-9]{1,5}/like/',]

然后请求博客的点赞喜欢功能,发现是可以的

But: 不建议禁用CSRF 哦~

如果是Form表单提交,一定要加 {% csrf_token %} 如果是ajax 提交,就可以参考 【Django中的CSRF使用及ajax请求接口时问题总结】 来实现

原文链接 http://newblog.colinspace.com/blog/post/9/

菩提老鹰
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django 取消csrf限制的实例
09-17
主要介绍了django 取消csrf限制的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
详解DjangoCSRF认证实现
09-20
主要介绍了详解DjangoCSRF认证实现,详细的介绍了csrf原理和实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Day62:Django 启用和禁用CSRF功能
ivenqin的博客
04-28 417
1.Django CSRF的原理 CSRF(Cross Site Request Forgery)也就是跨站请求伪造,实现的原理是CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的; 2.CSRF认证 在项目的settings文件中有一个配置项MIDDLEWARE,表示默认Django启...
django避免csrf_token验证
ZCR73的博客
05-18 422
将所有的csrf_token验证都关闭是不安全的,因此考虑views.py文件中对单个函数关闭csrf_token验证。首先import关闭csrf_token验证的函数。
访问网址 token的格式_Django使用Pyjwt、restframework、restframeworkjwt 生成token
weixin_39639049的博客
11-20 221
Token在移动端开发或者前后端分离开发时,我们会经常用到token(令牌)来验证并保留登录状态,通过向登录接口以post请求方式来发送登录表单获取token,将token保存到本地,并在请求需要身份认证的 url 时,将token放到请求头中就可以直接访问,不用再登录。token生成的方法有很多种,我们这里不关注具体的生成算法,只是关注功能性实现。注意事项需要有一定的django基础,...
Django取消CSRF限制
Tomonkey的专栏
06-04 1875
在前后端分离的时候,前端请求时接口中请求头没有CSRF token,然后就报错了 Reason given for failure: CSRF token missing or incorrect. In general, this can occur when there is a genuine Cross Site Request Forgery, or when Django's CSRF mechanism has not been used correctly. For
django禁用csrf
weixin_38170137的博客
09-02 112
django禁用csrf 函数试图 from django.views.decorators.csrf import csrf_exempt @csrf_exempt def your_func_view(request): pass 类试图 from django.views.decorators.csrf imp...
Django彻底禁用CSRF检查
weixin_30446613的博客
07-04 198
1.创建一个middleware.py,定义一个DisableCSRF类: class DisableCSRF(object): def process_request(self, request): setattr(request, '_dont_enforce_csrf_checks', True) 2. 修改settings.py,添加自定义的...
django 同时提交表单和file_Python学习第六十二天记录打call:Django 启用和禁用CSRF功能...
weixin_39872872的博客
12-20 90
1.Django CSRF的原理CSRF(Cross Site Request Forgery)也就是跨站请求伪造,实现的原理是CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的;2.CSRF认证在项目的settings文件中有一个配置项MIDDLEWARE,表示默认Django启用csr...
django 取消csrf限制
chen1042246612的博客
01-24 3112
# 导入包 from django.views.decorators.csrf import csrf_exempt # 使用装饰器即可避免csrf限制 @csrf_exempt def add_bookshelf(request): user_id = request.POST.get('user_id') print(user_id) return Htt...
django-csrf使用和禁用方式
12-20
orm表单使用csrf a. 基本应用 form表单中添加 {% csrf_token %} b. 全站禁用 # ‘django.middleware.csrf.CsrfViewMiddleware’, c. 局部禁用 'django.middleware.csrf.CsrfViewMiddleware', from django.views.decorators.csrf import csrf_exempt @csrf_exempt def csrf1(request): if request.method == 'GET': return
Django Rest Framework关闭CSRF验证
denglinglin2653的博客
07-24 1264
detail": "CSRF Failed: CSRF cookie not set 如果你使用DRF出现了上面的报错,而试过网上所说的注释掉setting里面的CSRF中间件,依然无效的话,尝试一下下面的方法。 SessionAuthenticationDRF使用的默认方案。DRFSessionAuthentication使用Django的会话框架进行身份验证,需要检查CS...
Django CSRF(什么是CSRF?)\Django前后端分离csrf token获取方式
西京刀客
12-07 1356
Django CSRF 浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。 浏览器的同源策略并不能阻止CSRF攻击。 什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是跨站请求伪造。 Django CSRF django为用户实现防止跨站请求伪造的功能,通过中间件django.middleware.csrf.CsrfViewMiddle
Django关于禁用csrf使用csrf操作
qq_32506555的博客
04-06 1511
本文和大家分享的是django中关于禁用csrf使用csrf操作相关内容,一起来看看吧,希望对大家学习django有所帮助。  1. 基本使用  form表单中添加  {% csrf_token %}  2. 全站禁用  # 'django.middleware.csrf.CsrfViewMiddleware',  3. 局部禁用  'django.middleware.csrf.CsrfVie...
django 类取消csrf_Django搭建个人博客:用户的注册
weixin_39531688的博客
11-29 148
既然有登录登出,那么用户的注册肯定也是少不了的。注册表单类用户注册时会用到表单来提交账号、密码等数据,所以需要写注册用的表单/userprofile/forms.py:/上一章也讲过,对数据库进行操作的表单应该继承forms.ModelForm,可以自动生成模型中已有的字段。这里我们覆写了password字段,因为通常在注册时需要重复输入password来确保用户没有将密码输入错误,所以覆写掉它以...
django对某个方法关闭csrf验证
qq_43593912的博客
05-16 1771
代码如下: from django.utils.decorators import method_decorator from django.views.decorators.csrf import csrf_exempt @method_decorator(csrf_exempt, name='dispatch') class IndexView(View): # 请求这个方法时不需加csr...
django免除csrf校验
热门推荐
qq_42486675的博客
07-15 1万+
django中默认启动csrf校验,当用户发起post请求时,必须携带csrf_token参数。如果不想使用csrf校验时,可以使用以下方式免除校验。以下方式都是在局部中使用,如果想全局禁用时,需要在settings文件中配置,这种方式不推荐使用
Django——CSRF防御
小白一直白
01-28 430
关于CSRF攻击原理在上一篇博客已经有过说明,这篇主要介绍下Django关于开启CSRFCSRF工作机理。关于开启防御有两种,一种是全局开启,另一种是局部开启。 全局: 中间件 django.middleware.csrf.CsrfViewMiddleware 局部:from django.views.decorators.csrf import csrf_exempt,csrf_prot...
django关闭CSRF
最新发布
07-17
csrf_exempt是Django中的一个装饰器,用于跳过请求中的CSRF检查。在视图函数中使用csrf_exempt装饰器后,该视图将不会受到DjangoCSRF保护机制的限制。这意味着POST、PUT、DELETE等请求将不被拒绝或抛出异常。但这也可能增加应用程序的安全漏洞,因此应该谨慎使用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值