django csrf 防跨站攻击

最新推荐文章于 2022-01-21 18:12:21 发布
最新推荐文章于 2022-01-21 18:12:21 发布
阅读量1.7k 收藏
点赞数
分类专栏: Python Django 文章标签: django python

csrf 攻击原理:
django csrf 防跨站攻击 - 第1张 | 小强的博客

 # django使用(CsrfMiddleware)进行Csrf防护,原理如下:

1.它修改当前处理的请求,向所有的 POST 表单增添一个隐藏的表单字段,使用名称是 csrfmiddlewaretoken,

值为当前会话 ID 加上一个密钥的散列值。 如果未设置会话 ID ,该中间件将不会修改响应结果,

因此对于未使用会话的请求来说性能损失是可以忽略的。

 

2.对于所有含会话 cookie 集合的传入 POST 请求,它将检查是否存在 csrfmiddlewaretoken 及其是否正确。

如果不是的话,用户将会收到一个 403 HTTP 错误。 403 错误页面的内容是检测到了跨域请求伪装。 终止请求。

该步骤确保只有源自你的站点的表单才能将数据 POST 回来。

另外要说明的是,未使用会话 cookie 的 POST 请求无法受到保护,但它们也不 需要 受到保护,

因为恶意网站可用任意方法来制造这种请求。为了避免转换非 HTML 请求,中间件在编辑响应结果之

前对它的 Content-Type 头标进行检查。 只有标记为 text/html 或 application/xml+xhtml 的页面才会被修改。

 

CSRF设置步骤:
第一步: 在settings.py中的MIDDLEWARE_CLASSES部分添加’django.middleware.csrf.CsrfViewMiddleware’,如果使用普通方式创建的django项目,这一项一般都已经存在了不用额外设置。
django csrf 防跨站攻击 - 第2张 | 小强的博客

 

第二步:在POST表单的template中加入csrf_token。这一步很简单,在模板中添加如下代码:

django csrf 防跨站攻击 - 第3张 | 小强的博客

 

第三步:在请求处理方法中添加context processor。

使用RequestContext,RequestContext始终都使用了’django.core.context_processors.csrf’。
django csrf 防跨站攻击 - 第4张 | 小强的博客

 

验证结果:
django csrf 防跨站攻击 - 第5张 | 小强的博客

 

fighter_yy
关注
专栏目录
Django CSRF请求伪造防护过程解析
01-01
前言 CSRF全称Cross-site request forgery(跨请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网A,浏览器就会保存网A的cookies。 2、用户在访问恶意网B, 网B上有某个隐藏的链接会自动请求网A的链接地址,例如表单提交,传指定的参数。 3、恶意网B的自动化请求,执行就是在用户A的同一个浏览器上,因此在访问网A的时候,浏览器会自动带上网A的cookies。 4、所以网A在接收到请求之后,可判断当前用户登录状态,所以根据
Django中如何防范CSRF点请求伪造攻击
python零基础入门
11-03 174
CSRF概念 CSRF点请求伪造(Cross—Site Request Forgery)。 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。CSRF攻击原理以及过程 用户C打开浏览器,访问受信任网A,输入用户名和密码请求登录网A;...
Django的安全特性(一) 跨点脚本(XSS)攻击保护
ckk727的博客
03-03 702
Django在很大程度上可以规避许多风险,但这并不说明使用Django就可以万无一失,要想让你的网能够安稳运行,了解Django的安全特性非常重要,你要首先知道,在哪些方面Django提供了保护机制,而哪些地方Django做的还不太完善。 一、跨点脚本(XSS)攻击保护 我们知道,Django的模板系统可以生成任何text-based格式,例如HTML。 设想这样一种情况: Hello,{...
django的跨请求访问
weixin_34387468的博客
09-16 177
一、简介 django为用户实现防止跨请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨请求伪造功能有分为全局和局部。 全局:   中间件 django.middleware.csrf.CsrfViewMiddleware 局部: @csrf_protect,为当前函数强制设置仿跨...
CSRF(跨请求伪造)与django项目的预防方法
花城的博客
10-18 2134
一、跨请求伪造(CSRF)的概念二、djangoCSRF令牌三、在ajax中使用csrf_token(jQuery为例)四、关于CSRF的装饰器1. 单独指定需要csrf验证的视图2. 单独指定忽略csrf验证的视图 一、跨请求伪造(CSRF)的概念 CSRF全称为Cross-site request forgery,中文意为跨请求伪造。它是指一种网络攻击技术:不法分子盗用身份信息并伪造请求,进行并非你本意的操作。 csrf的案例: 假设我们在浏览器中逛支付王(就当做是个很垃圾的支付平
django保护机制和CSRF
a1496785的博客
09-28 904
CSRF:Cross-site request forgery,叫做跨请求伪造,是指伪装来自受信任用户的请求来利用受信任的网完成攻击。 下面是我在网上看到的一个比较好的通俗的解释:    受害者 Bob 在银行有一笔存款,通过对银行的网发送请求 http://bank.example/withdraw?account=bob&amount=1000000&for=bob2...
Django中预防CSRF攻击的操作
09-17
Django框架中,预防CSRF(跨请求伪造)攻击是确保Web应用安全性的重要环节。CSRF攻击是一种恶意利用用户已登录的身份进行非法操作的网络攻击方式,它通过伪装成用户来执行非用户意愿的操作,例如修改用户资料、...
Python Django框架防御CSRF攻击的方法分析
09-18
Python的Web开发框架Django中,CSRF(Cross-site request forgery,跨请求伪造)是一种常见的安全威胁,它允许攻击者通过受害者在已登录的网上的合法身份执行恶意操作。为了保护用户免受此类攻击Django提供...
Django伪造请求攻击CSRF简明
weixin_47125742的博客
01-21 2416
csrf介绍 接触到csrf之前应该要了解cookie,cookie是浏览器保存用户信息的一种机制,比如登陆状态、账号、甚至密码,并且它是自动提交的。csrf就是跨域完成控制cookie的一种攻击。举个例子就是,理想情况下:例如在网上登录了某银行并且没退出(这个页面也没叉掉),就去访问了一些恶意网,这些恶意网大多会给你一个表单,然你去填写,这时就利用保存在浏览器上的cookie来操作这个没有关掉的页面。 防范原理 测试阶段 模板层写个页面 <!DOCTYPE html> <html
Django-跨请求
weixin_30929195的博客
09-05 68
//用户验证Tonken 在Html 中 设置一个Token {% csrf_token %} //在代码Views.py 中返回值添加 context_instance=RequestContext(request ) 转载于:https://www.cnblogs.com/TomCzr/p/5840866.html...
Django中如何防范CSRF点请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF点请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Django解决跨域问题
loserccc的博客
07-30 326
1. 安装包 安装 django-cors-headers 包,命令 pip install django-cors-headers 2. 注册app 在settings文件中,INSTALLED_APPS中写入’corsheaders’,,注意注册顺序问题,跨域app需要在自己app的前面。 // setting.py INSTALLED_APPS = [ 'corsheaders', # 跨域app 'django.contrib.admin', 'django.contr
django跨域问题解决
YOYO的博客
08-05 4338
安装 pip install django-cors-headers 注册应用 INSTALLED_APPS = ( ... 'corsheaders', ... ) 中间层设置 MIDDLEWARE = [ 'corsheaders.middleware.CorsMiddleware', ... ] 添加白名单 # COR...
csrf攻击的原理和Django防范csrf攻击的方法
KrystalCSDN的博客
11-10 339
csrf攻击的原理 CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击点,从而在并未授权的情况下执行在权限保护之下的操作。比如说,受害者 Bob 在银行有一笔存款,通过对银行的网发送请求 http://bank.example/withdraw?account=bob&amount=1000000&for=bob2 可以使 Bob 把 1000000 ...
Django伪造请求保护措施设置方法
dapeng0802的专栏
10-17 682
注:以下内容转载自 Django伪造请求保护措施设置方法 一文,仅供学习使用。         在 Django中遇到 POST 提交表单提示 403 错误,发现以 POST 方式提交表单会触发 Django 内置的 csrf 保护机制,并且在 403 页面给出了解决方法,根据提示更改后发现问题依旧,网上查阅很多同学的解决方案均不能解决这个问题,所以到官网上查阅了关于csrf
Django 024】中间件Middleware(三):Django自带csrf中间件源码分析以及跳过csrf报错的四种方法
T型人小付的博客
04-17 1089
Django作为一个重量级框架,其已经事先为我们内置了很多安全模块,CSRF中间件就是其中之一。那么究竟什么是CSRF,其中间件工作原理是怎样的,我们又应该如何去使用CSRF呢。这一篇文章我们一起来深入学习一下。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录什么是CSRFCSRF的防范策略Django中的...
Django-常见的web攻击,及如何防止
Jamin2018的博客
01-15 2295
一.sql注入攻击及防范 1.危害 sql注入攻击的危害:非法读取、篡改、删除数据库中的数据盗取用户的各种敏感信息,获取利益通过修改数据库来修改网页上的内容注入木马等等 2.防范 django的orm查询和form表单验证都过滤了sql注入攻击 3.漏洞原理 若用原生的查询方式,可以通过输入单引号 1=1(如:‘OR 1=1#)等特殊字符使原生的SQL语句代码被改变
Django表单处理
韦宇的博客
07-11 3304
我们会从手工打造一个简单的搜索页面开始,看看怎样处理浏览器提交而来的数据。然后我们开始使用Django的forms框架。 搜索 在web应用上,有两个关于搜索获得巨大成功的故事:Google和Yahoo,通过搜索,他们建立了几十亿美元的业务。几乎每个网都有很大的比例访问量来自这两个搜索引擎。甚至,一个网是否成功取决于其内搜索的质量。因此,在我们这个网添加搜索功能看起来好一些。 开始,
django防止csrf跨域伪造攻击
weixin_42218868的博客
07-16 569
Csrf跨域伪造攻击:使用当前浏览器还在生效状态的cookie对指定网进行操作。最初针对的是银行网的转账。 Django本身会对csrf进行校验,在django的1.4版本之前,csrf默认关闭,需要在settings当中手动开启,在1.4之后,默认开启 在django的任何post请求,都会在请求之初,给用户下发一下串用来校验身份的编码,并且每次请求不一样。 如果不加csrf_toke...
Django中实施CSRF防御策略详解
Django框架中,跨请求伪造(CSRF,CrossSiteRequestForgery)是一种常见的Web安全威胁,攻击者可能利用用户的已登录状态进行恶意操作,例如窃取敏感信息或执行未经授权的交易。为了保护您的应用免受此类攻击,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值