flask基础十五之CSRF跨站请求伪造

最新推荐文章于 2021-07-26 15:57:55 发布
最新推荐文章于 2021-07-26 15:57:55 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: flask 文章标签: 跨站伪造请求 csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feilzhang/article/details/81041571
版权

CSRF

  • CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。
  • CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。
    • 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......
  • 造成的问题:个人隐私泄露以及财产安全。

CSRF攻击示意图

  • 客户端访问服务器时没有同服务器做安全验证

防止 CSRF 攻击

步骤

  1. 在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值
  2. 在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token
  3. 在用户点击提交的时候,会带上这两个值向后台发起请求
  4. 后端接受到请求,以会以下几件事件:
    • 从 cookie中取出 csrf_token
    • 从 表单数据中取出来隐藏的 csrf_token 的值
    • 进行对比
  5. 如果比较之后两值一样,那么代表是正常的请求,如果没取到或者比较不一样,代表不是正常的请求,不执行下一步操作

代码演示

未进行 csrf 校验的 WebA
  • 后端代码实现

from flask import Flask, render_template, make_response
from flask import redirect
from flask import request
from flask import url_for

app = Flask(__name__)


@app.route('/', methods=["POST", "GET"])
def index():
    if request.method == "POST":
        # 取到表单中提交上来的参数
        username = request.form.get("username")
        password = request.form.get("password")

        if not all([username, password]):
            print('参数错误')
        else:
            print(username, password)
            if username == 'laowang' and password == '1234':
                # 状态保持,设置用户名到cookie中表示登录成功
                response = redirect(url_for('transfer'))
                response.set_cookie('username', username)
                return response
            else:
                print('密码错误')

    return render_template('temp_login.html')


@app.route('/transfer', methods=["POST", "GET"])
def transfer():
    # 从cookie中取到用户名
    username = request.cookies.get('username', None)
    # 如果没有取到,代表没有登录
    if not username:
        return redirect(url_for('index'))

    if request.method == "POST":
        to_account = request.form.get("to_account")
        money = request.form.get("money")
        print('假装执行转操作,将当前登录用户的钱转账到指定账户')
        return '转账 %s 元到 %s 成功' % (money, to_account)

    # 渲染转换页面
    response = make_response(render_template('temp_transfer.html'))
    return response

if __name__ == '__main__&#
最低0.47元/天 解锁文章
zfl273
关注
专栏目录
跨站请求伪造(CSRF)进阶
悦分享
07-30 128
CSRF的全名是Cross Site Request Forgery,翻译成中文就是跨站请求伪造。它是一种常见的Web攻击,但很多开发者对它很陌生。CSRF也是Web安全中最容易被忽略的一种攻击方式,甚至很多安全工程师都不太理解它的利用条件与危害,因此不予重视。但CSRF在某些时候却能够产生强大的破坏性。我们先看一个XSS Payload 例子:登录Sohu博客后,只需要请求这个URL,就能够把编号为“156713012”的博客文章删除。这个URL同时还存在CSRF漏洞。
CSRF跨站请求伪造)在Flash中的利用
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
07-28 328
0×00 前言 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻...
flask-xsrf:烧瓶扩展,用于防御跨站请求伪造攻击(XSRFCSRF
05-18
烧瓶-xsrf 扩展,通过为每个请求使用唯一生成的令牌来保护flask请求端点,从而防御跨站请求伪造攻击 。 烧瓶 PYTHON X射线荧光光谱仪 建立状态 分支 服务 地位 服务 标题 地位 master ci-build github tags develop ci-build github releases-all master coveralls.io github releases-latest develop coveralls.io pypi releases-latest master landscape.io pypi downloads develop landscape.io pypi dl-month 参考/链接 pypi:包 阅读文档:docs github:维基 github:源 github:发布 更
跨站请求伪造CSRF以及Flask中的解决办法
weixin_30535043的博客
07-03 198
CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。 CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 ...
学习FlaskCSRF
吴家健ken的博客
07-26 912
什么是CSRF,不多解释,简单点说,就是防止网站的form 被域重复提交。 要使用CSRF,可以利用flask_wtf 自带的CSRF,这样就要结合flask_wtf 的Form 表单一起实现了。 继续从这个项目中说起 首先,都是需要卸载flask_wtf $ pip install Flask-WTF 在extendsions.py 中引用 from flask_wtf import CSRFProtect ...... csrf = CSRFProtect() 在__init__.py 初始化
Flask-WTF的CSRF保护详解
qq769747518的博客
08-11 3493
CSRF 保护 这部分文档介绍了 CSRF 保护。 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为...
Flask中的CSRF保护
宇宙有只 AGI 的博客
12-06 274
一、全局CSRF保护 from flask_wtf import CSRFProtect CSRFProtect(app) 二、蓝图CSRF保护过滤 from flask_wtf import CSRFProtect ...
跨站请求伪造 CSRF有哪几种类型
最新发布
05-13
跨站请求伪造(Cross-Site Request Forgery,CSRF)是一种常见的网络攻击方式,攻击者通过引诱用户访问恶意网站,或者通过其他方式欺骗用户,从而在用户不知情的情况下发送伪造请求,以达到攻击目的。CSRF攻击可以...
ASP.NET 中的跨站脚本(XSS)与跨站请求伪造CSRF)防范
ASP.NET 是一个广泛使用的Web应用程序开发框架,但是在开发过程中常常容易出现一些安全漏洞,其中跨站脚本(XSS)攻击和跨站请求伪造CSRF)攻击是比较常见的安全漏洞。在本章中,我们将介绍ASP.NET中常见漏洞的...
DVWA靶机通关系列--3.CSRF跨站请求伪造)(解题思路+审计分析)
ElsonHY的博客
12-14 567
DVWA靶机通关系列--3.CSRF跨站请求伪造)(解题思路+审计分析)前言0x01 CSRF跨站请求伪造)CLASS LOWCLASS:MEDIUMCLASS:HIGH总结 前言 这时肯定有小伙伴要说了,“哎呀你怎么第二关的命令注入还没讲就直接讲第三关了???小R你不讲5的,我劝你耗子尾汁……” 开个玩笑,因为最近面试经常被问到关于CSRF的问题,也重新对该部分的理论基础复习了一下,想着趁热打铁,先写这一部分,这样写的过程思路也可能会相对清晰一点,下一篇一定写第二关= =(狗头保命)。 B
跨站请求伪造-CSRF防护方法
03-12
跨站请求伪造-CSRF防护方法跨站请求伪造-CSRF防护方法
Flask框架 CSRF 保护实现方法详解
09-18
主要介绍了Flask框架 CSRF 保护实现方法,结合实例形式详细分析了Flask-WTF针对CSRF攻击的防护相关操作技巧,需要的朋友可以参考下
Flask实现CSRF保护
热门推荐
rongDang的博客
07-17 1万+
  参考官方文档  CSRF跨站请求伪造,源于WEB的隐式身份验证机制,WEB的身份验证机制虽然可以抱着一个请求时来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。  例如,用户登录受信任的网址A,在本地生成了Cookie,在Cookie没有失效的情况下去访问了危险网站B,B可能会盗用你的身份,以你的名义去发送恶意请求,邮件,盗取你的账号,设置购买商品,造成你个人隐私泄露,已经财产安...
做一个网站多少钱?
java面试笔试
10-20 369
Java面试笔试面经、Java技术每天学习一点Java面试关注不迷路作者:kimix 的博客来源:kimix.name/做一個網站多少錢?/「一辆车子多少钱?一个房子多少钱?」这问题在工...
Flask CSRF 保护
咸鱼!!!
07-07 583
Flask CSRF 保护为什么需要 CSRF?实现 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为了能够让所...
Flask从入门到精通之跨站请求伪造保护
weixin_30639719的博客
01-29 117
  默认情况下,Flask-WTF 能保护所有表单免受跨站请求伪造(Cross-Site Request Forgery,CSRF)的攻击。恶意网站把请求发送到被攻击者已登录的其他网站时就会引发CSRF 攻击。   为了实现CSRF 保护,Flask-WTF 需要程序设置一个密钥。Flask-WTF 使用这个密钥生成加密令牌,再用令牌验证请求中表单数据的真伪。设置密钥的方法如下所示: ap...
Flask-WTF 之防止CSRF***学习记录
weixin_33910137的博客
12-22 313
CSRF 保护这部分文档介绍了 CSRF 保护。为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。实现为了...
Flask框架——CSRF保护
HMMHMH的博客
10-12 612
目录CSRF攻击如何防御CSRF攻击Flask框架中的CSRF保护机制 CSRF攻击 CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账… 造成的问题:个人隐私泄露以及财产安全。 攻击示意图: 如何防御CSRF攻击 在客户端...
flask中使用CSRFProtect
python_tty的专栏
03-29 2809
csrf跨站请求伪造攻击,它的原理是诱导用户浏览器访问已经认证过的网站,从而实现自己的攻击目的,危害性很大,所以我们在网站开发过程中要加入csrf保护。现在的web框架都提供了相应的csrf protect方法。 falsk中csrf protect使用: from flask_wtf.csrf import CSRFProtect csrf = CSRFProtect(app) ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值