Django项目--csrf攻击

最新推荐文章于 2020-05-14 14:49:42 发布
最新推荐文章于 2020-05-14 14:49:42 发布
阅读量140 收藏
点赞数
分类专栏: Django--天天生鲜
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fanxindong0620/article/details/102829038
版权

1.案例流程图:

在这里插入图片描述

2.django防止csrf的方式:

1 ) Django中默认打开csrf中间件。settings.py文件中:

MIDDLEWARE_CLASSES = (
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware', # django默认启用了csrf防护,只针对post提交
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'django.middleware.security.SecurityMiddleware',
)

2 ) 表单post提交数据时加上{% csrf_token %}标签。
在这里插入图片描述在这里插入图片描述

3.防御原理:

1 ) 渲染模板文件时在页面生成一个名字叫做csrfmiddlewaretoken的隐藏域。
在这里插入图片描述
2 ) 服务器交给浏览器保存一个名字为csrftoken的cookie信息。
3 ) 提交表单时,两个值都会发给服务器,服务器进行比对,如果一样,则csrf验证通过,否则失败。

阿Q咚咚咚
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python DjangoCSRF攻击CSRF防御
houyanhua1的专栏
12-14 397
  项目名/settings.py(项目配置,csrf中间件配置): MIDDLEWARE_CLASSES = ( 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.Cs...
Django CSRF攻击
ball4022的博客
08-19 159
CSRF攻击攻击原理及过程如下: 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 4. 网站B接收到用户请求后,返回一些攻击性代码,并发出...
最浅显易懂的Django系列教程(41)-CSRF攻击
jspython的博客
05-14 195
CSRF攻击CSRF攻击概述: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也存在着 CSRF 漏洞,从而被黑客攻击而使 Gmail 的用户造成巨大的损失。 CSRF攻击
DjangoCSRF攻击原理及其防御方式
Shaun_X
03-18 905
攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。
Django-admin、基本数据类型、csrf攻击
weixin_30840573的博客
07-17 177
django数据类型与mysql数据类型比较 参数 max_length=32 null=True : 可以设置为null db_index=True : 设置索引 default : 设置默认值 unique : 设置唯一索引 db_column: 设置一个列名 uniqu...
django-csrf使用和禁用方式
12-20
但是,这通常不推荐,因为它会使整个站点对CSRF攻击变得非常脆弱。 ### Django CSRF禁用与局部控制 **3. 局部禁用CSRF保护** 如果你有某些视图函数或API端点不需要CSRF保护,可以使用`@csrf_exempt`装饰器: ```...
Django中预防CSRF攻击的操作
09-17
CSRF攻击是一种恶意利用用户已登录的身份进行非法操作的网络攻击方式,它通过伪装成用户来执行非用户意愿的操作,例如修改用户资料、进行支付等。为了保护用户的隐私和财产安全,Django提供了内置的CSRF防护机制。 ...
django例题---非常的奈斯
06-18
【标题】:“django例题---非常的奈斯” 在IT领域,Django是一个...此外,Django还支持许多高级特性,如内置的Admin界面、CSRF保护、跨站脚本攻击防护、国际化和本地化等,这些都是构建现代Web应用不可或缺的部分。
Python Django框架防御CSRF攻击的方法分析
09-18
下面我们将深入探讨Django如何防御CSRF攻击,以及如何配置和使用这些防御策略。 首先,我们需要了解Django防御CSRF攻击的基本原理: 1. **生成CSRF令牌**:当Django渲染HTML模板时,它会在每个需要防护的POST表单...
Django CSRF
光明小学王小雨的博客
12-16 1800
一、CSRF攻击攻击原理及过程 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式 1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B...
CSRF攻击原理&Django的应用方法
u012556900的专栏
02-26 3610
CSRF攻击原理 Cross Site Request Forgery 跨站请求伪造 一句话总结:都是cookie惹的祸,所以先看看cookie cookie的作用流程 当输入一串网址登陆一个安全的站点如:www.XXX.com,并登陆到你的账号,服务器就会分配一个cookie给浏览器,里面包含了认证的信息,用户在这个站点打开其他的网页时将就不用再输入用户名和密码,浏览器会自动将这个c
Django中预防CSRF攻击
但行好事,莫问前程
10-26 2225
CSRF攻击者盗用了你的身份,以你的名义发送恶意请求。
Django之sql注入,XSS攻击CSRF攻击原理及防护
time
06-21 5747
sql注入的危害非法操作用户数据库的数据来获取利益,通过修改数据库来修改网页的内容,注入木马等未完待续
启动django服务器报错raise errorclass(errno, errval) django.db.utils.InternalError
fanxindong0620的博客
10-09 3748
问题描述: 启动django服务器python manage.py runserver报错: 原因:与mysql数据库编码有关 解决方案:更改项目所用的数据库编码为utf8 重新运行服务器,并执行迁移python manage.py magrate,正常! ...
启动FastDFS服务,使用python客户端对接fastdfs完成上传测试
fanxindong0620的博客
10-22 685
启动fdfs_trackerd:sudo service fdfs_trackerd start 启动fdfs_storaged :sudo service fdfs_storaged start 启动Nginx:sudo /usr/local/nginx/sbin/nginx 重启fdfs_trackerd :sudo service fdfs_trackerd restart 重启fdfs_s...
安装nginx及fastdfs-nginx-module
fanxindong0620的博客
10-22 660
先了解背景: FastDFS为什么要结合Nginx以及FastDFS原理,请参考文章: https://baijiahao.baidu.com/s?id=1628343949188630389&wfr=spider&for=pc 准备工作: 安装安装Nginx所需的环境,参考文献:https://www.cnblogs.com/yanyh/p/9801466.html apt in...
Ubuntu中安装FastDFS
fanxindong0620的博客
10-21 427
1 安装fastdfs依赖包 解压缩libfastcommon-master.zip 进入到libfastcommon-master的目录中 执行 ./make.sh 执行 sudo ./make.sh install 2 安装fastdfs 解压缩fastdfs-master.zip 进入到 fastdfs-master目录中 执行 ./make.sh 执行 sudo ./make.sh ...
Django中--使用redis存储历史浏览记录
fanxindong0620的博客
10-19 396
class UserInfoView(LoginRequiredMixin, View): '''用户中心-信息页''' def get(self, request): '''显示''' # Django会给request对象添加一个属性request.user # 如果用户未登录->user是AnonymousUser类的一...
django dev-api/login
最新发布
05-16
这是一个请求 dev-api 中的 login 接口,使用 Django 框架开发。具体实现可以参考 Django 官方文档或者相关的开源...在开发过程中,需要注意安全性和可靠性,如防止 SQL 注入、CSRF 攻击等,并进行适当的测试和调试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值