Django 跨站请求伪造(csrf)防御——解决 POST 请求 403 问题

最新推荐文章于 2024-01-04 08:49:25 发布
最新推荐文章于 2024-01-04 08:49:25 发布
阅读量798 收藏
点赞数
分类专栏: Python学习 文章标签: Python Django csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fenghuizhidao/article/details/107855873
版权

文章目录

背景

正在使用 Django 框架做项目,需要在页面上进行 POST 请求,请求由 axios 进行处理。
处理过程中总是出现 403 Forbidden,于是仔细研究了一下。

Django 的跨站请求伪造(csrf)防御

如果你啥也不想管,就想让自己的 403 消失,那么可以直接看下一节。

首先什么是 csrf,以及通用的防御措施是什么?可以参考 这个教程,这里不作赘述。
Django 提供了 csrf 防御的中间件(middleware)。做法是提供 csrf token,在收到请求时对 csrf token 进行校验。这个功能是默认打开的,在 settings.py 中的 MIDDLEWARE 里有一项 django.middleware.csrf.CsrfViewMiddleware,这个就是提供 csrf 防御能力的中间件。
需要注意的是,这个中间件需要放在任何具体页面处理的中间件前边。

取消 csrf 防御

如果你想彻底取消 csrf 防御,那么通过在 Django 项目的 settings.py 里找到 MIDDLEWARE,把 'django.middleware.csrf.CsrfViewMiddleware', 这一项注释掉,重启一下服务就好。

如果你希望对某几个特定的处理取消 csrf 防御,那么在对应的处理函数前加上修饰符即可。

from django.views.decorators.csrf import csrf_exempt

@csrf_exempt
def HandlePost(request):
    ...
    # 这里的 HandlePost 就是用来处理 post 请求的
    # 增加 csrf_exempt 修饰符后,该请求关闭 csrf token 的校验

对某个特定请求开启 csrf 防御

Django 的 csrf 防御默认只校验 POST 请求,对 GET、PUT 等方法不做处理。
通过一个修饰符,可以为某个特定的页面开启 csrf 校验。

from django.views.decorators.csrf import csrf_protect

@csrf_protect
def HandleGet(request):
    ...

设置 csrf token

当我们设置了某个请求是需要 csrf 校验的,就意味着前端在进行请求时,需要加上 csrf token,那么第一步就是怎么把 csrf token 给到客户端。

其实如果开启了 csrf 中间件,那么在请求返回时,就会种下 csrftoken 这个 Cookie。

当然也可以把 csrf token 放到页面中。如果使用了 Django 提供的模板(template),那么,可以在模板中直接加入 {% csrf_token %},这个标签会被渲染成一个隐藏的 input,它的 value 就是 csrf token。

客户端该如何处理 csrf token

如果进行请求的是一个表单,直接将这个标签放入表单里即可,形如

<form method="post">
    {% csrf_token %}
    ...
</form>

Django 会自动进行处理;如果觉得这样不方便,那么就需要在 header 中加入相关的信息。默认的 csrf header 名称是 X-CSRFTOKEN,我们以 axios 为例,进行说明

axios.post('/api/general/addTorrent/', {
        foo: 'bar'
    }, {
        headers: {
            'content-type': 'application/x-www-form-urlencoded'
        },
        xsrfHeaderName: 'X-CSRFTOKEN', // 设置 csrf token header 的名称
        xsrfCookieName: 'csrftoken' // 从 cookie 中获取 csrftoken
    })
    .then(response => {
            // 对返回的数据进行处理
        }
    })

针对 csrf 的一些配置项

项目的 settings.py 中可以对 csrf 策略做一些配置:

CSRF_COOKIE_NAME # 默认 csrftoken
CSRF_HEADER_NAME # 头的名字,默认 HTTP_X_CSRFTOKEN,对应 X-CSRFTOKEN,即最后用的名称前边加上 HTTP_
CSRF_TRUSTED_ORIGINS # 信任的域名,默认 []
CSRF_FAILURE_VIEW # 默认 django.views.csrf.csrf_failure

CSRF_COOKIE_HTTPONLY # 默认 false,如果有 HTTPONLY 标志,那么 JS 读不到……
CSRF_COOKIE_AGE # 默认 31449600 秒,即一年
平头某
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
禁止(403CSRF验证失败请求中止即使使用{%csrf_token%}
dituirenwu的博客
02-26 2089
Django SCRF跨站请求伪造
weixin_30291791的博客
01-31 108
  使用DjangoPOSTt请求的时候经常会遇到Forbidden的错误,然后直接了当的方法就是去setting里面吧csrf中间件注释掉,其实csrfdjango给我们提供的防护措施.   CSRF就是一种攻击方式,原理大概是你去A网站登录后本地留下了A网站的cookie,然后去B网站访问收到了CSRF的攻击,拿到了你A网站的cookie,然后攻击者用这个cookie去请求A网站,...
Django项目报错: 禁止访问(403),CSRF验证失败,相应中断
hao_sir
02-28 374
如果想要取消表单的CSRF防护,可以在模板上删除{% csrf_token %}, 并且在相应的视图函数中添加装饰器@csrf_exempt, 代码如下: from django.views.decorators.csrf import csrf_exempt @csrf_exempt def registerView(request):   pass   return render...
DjangoCSRF
qq_43687990的博客
09-20 206
1.csrf原理 csrf要求发送post,put或delete请求的时候,是先以get方式发送请求,服务端响应时会分配一个随机字符串给客户端,客户端第二次发送post,put或delete请求时携带上次分配的随机字符串到服务端进行校验 2.Django中的csrf使用 Django中的csrf中间件作用于整个项目。Django内置了很多中间件,其中之一便有csrf中间件: MIDDLEWARE ...
python csrf token_在django中使用post方法时,需要增加csrftoken的例子
weixin_39878247的博客
12-08 294
从百度查到在django中,使用post方法时,需要先生成随机码,以防止CSRF(Cross-site request forgery)跨站请求伪造,并稍加修改:注:这是一个js文件,需要引入到html模板中:这样做比使用{% csrf_token %}方便$(function () {$.ajaxSetup({headers: { "X-CSRFToken": getCookie("csrfto...
django 页面进行ajax post提交时,页面要添加{% csrf_token %}
xiaoxiao_wang1的博客
08-23 276
{% csrf_token %} 进行ajax前,页面要添加{% csrf_token %}, 防止cookie过期,导致post方式提交的请求失败。 在页面中,{% csrf_token %}会编译为一个input hidden,当发起请求前,请求头设置cookie以保证能通过服务器验证。 日常写的js文件中只有读取cookie,如果没写{% csrf_token %},当cookie到期时,就无法正常请求 ...
Django CSRF跨站请求伪造防护过程解析
09-18
CSRF跨站请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网站发起对受害者的合法网站的请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
django在接受post请求时显示403forbidden实例解析
12-23
Django框架中,当你尝试发送一个POST请求到服务器时,如果遇到403 Forbidden错误,这通常意味着请求被拒绝,因为Django的安全机制没有找到有效的CSRF跨站请求伪造,Cross-Site Request Forgery)令牌。CSRF是...
vue-resource post数据时碰到Django csrf问题解决
01-21
公司最近用vue写前端,用vue-...vue-resource 向后端请求api, 公司的后台是用Django 开发的,Django为了防止跨站请求伪造,即csrf攻击,提供了CsrfViewMiddleware中间件来防御csrf攻击。 我们在html 页面里加入{%
django中间件CSRF
majiayu000的博客
06-15 190
在前后端分离的项目中,经常会遇到csrf forbidden这种情况。这时候需要在中添加一些配置。
使用 SpringSecurity 发送POST请求出现 403
最新发布
qq_43985303的博客
01-04 1153
这个时候就有新的问题出现, "/activiti/definition/readResource"已经是允许匿名访问了,但是在登录状态下访问还是会出现403,不登陆就可以正常获取,这个情况比较奇葩,大概理解的就是这个方法是匿名访问的,你登陆就不是匿名了,所以你没有权限访问。进行了设置, 在用户请求资源时出现了403错误 , 通过检查代码发现请求权限是开放的, 并且切换成 GET 请求也是可以通过, 换成POST 请求就无法通过。在使用 SpringSecurity 时对一些。
当前端页面发送POST请求提交数据时,出现Forbidden (403) CSRF verification failed. Request aborted.的解决方法
Sunny_Boy0518的博客
03-25 4137
当前端页面发送POST请求提交数据时,出现Forbidden (403) CSRF verification failed. Request aborted.的解决方法
接口报403,报CSRF验证失败的问题
热门推荐
aliven1的博客
05-26 1万+
问题定位:后台两个接口重命,走了优先级更高的接口,接口没有过滤CSRF; 一、csrf是什么 CSRF(Cross-site request forgery)跨站请求伪造,是一种常见的web安全漏洞,概括地说就是指,攻击者通过浏览器保存的Cookie盗用了你的身份,以你的名义给某个网站发送恶意请求,这些恶意请求包括但不限于发邮件、修改账户信息、购买商品、转账等等,如果这个网站没有防御csrf攻击的话,那么这些恶意请求可能会请求成功,从而泄露了个人的隐私安全和财产安全。怎么样,听着够严重吧。 二、.
django中http请求403解决方案
peace
09-17 5057
django编写HTTP请求django环境搭建开始撸请求跨站问题 django环境搭建 不再赘述,网上有的是 开始撸请求 views中并没有写死到底是接收post还是get,我们可以自己进行判断,如不判断,都可以接收 如下: @csrf_exempt def testapi(request): resp = {'code':10000,'msg':'success','data':{}}...
DjangoPOST请求403,及四种解决方法
11-27 1136
djangocsrf安全工作顺序是:先从后台获取csrf_token 并发送给前端,然后前端在进行form表单提交时,把带有名为csrfmiddlewaretoken,值为 csrf_token 的字段一起发送给后端进行校验。Django默认开启防止csrf(跨站请求伪造)攻击,在post请求时,没有上传 csrf字段,导致校验失败,报403错误。但是本人不使用MTV模式进行开发,只使用 Restful模式,所以对于Restfu模式开发的,使用第四种解决方法。优点:完成了 csrf 安全校验。
Django框架之csrf跨站请求
m0_71292438的博客
11-24 1259
csrf校验是一种用于防止跨站请求伪造(Cross-Site Request Forgery)攻击的安全措施。
php ci csrf,Codeigniter(CI) 使用 CSRF 功能造成 POST 403
weixin_39802962的博客
03-10 146
今天在工作上遇到在某一個開發站台 URL 在使用瀏覽器 和使用 JS 去 call URL 的 response 有不同的狀況雖然是一樣開啟 URL,但 resquest 的方式不同造成的回應也有所不同,這就是之前在測試滲透技巧中的一環狀況說明:使用 POST 會出現 403 沒有權限 (JS)使用 GET 可以出現正常的 response 200 (browser)根據 HTTP 的規範,GET...
django 开启CSRFtoken校验,以及postman实现问题
xiameimei_win的博客
11-30 904
Django postman csrf校验
Django中的CSRF(跨站请求伪造)
05-21
Django中的CSRF是一种安全机制,可以防止跨站请求伪造攻击。在Django中,默认情况下,所有的POST、PUT、DELETE请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。 具体来说,Django在生成表单时会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值