django中间件生成csrf_token

最新推荐文章于 2024-08-20 10:57:40 发布
最新推荐文章于 2024-08-20 10:57:40 发布
阅读量2.4k 收藏 6
点赞数
分类专栏: python django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fksfdh/article/details/104616604
版权

django中间件原理

class MiddlewareMixin:

	#django启动时就执行,与用户无关
    def __init__(self, get_response=None):
        self.get_response = get_response
        super().__init__()

    def __call__(self, request):
        response = None
        if hasattr(self, 'process_request'):
            response = self.process_request(request)
		#request到达views之前执行,如果在process_request函数中有返回值一般就会直接返回的不会执行以后的中间件
        response = response or self.get_response(request)
        #后面的中间件和views执行完成后返回
        if hasattr(self, 'process_response'):
            response = self.process_response(request, response)
        return response

例子:csrf_token:csrf原理:https://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
推荐一篇关与csrf中间件的文章 https://blog.csdn.net/qq_27952549/article/details/82392790
CSRF攻击的过程

1.用户C浏览并登陆信任的站点A
2.A验证通过,在用户C处产生A的Cookie
3.用户C在没有登陆的情况下访问攻击站点B
4.B要求访问第三方的站点A,发出一个请求
5.根据B在4的请求,浏览器携带2产生的cookie访问站点A
6.A不知道5中的请求是用户C发出的还是B发出的,由于浏览器会自动带上用户C的Cookie,所以A会个根据C的权限处理5的请求,这样B就达到了模拟用户登录的目的

如何防止CSRF的攻击?

1.在客户端向后端请求界面数据的时候,后端会往响应中的cookie中设置csrf_token的值
2.在Form表单中添加一个隐藏字段,值也是csrf_token
3.在用户提交的时候,会带上这两个值向后台发起请求
4.后端接收到请求以后,会做三件事:
从cookie中取出csrf_token
从表单数据中取出隐藏的csrf_token的值
将这两个值进行比对
5.如果比较后两个值一样,那么代表是正常的请求,如果没有取到或者比较不一致,代表不是正常的请求,不执行下一步操作

总结:就是说你虽然替他登录了,但是以后的访问还必须需要你的token才能进行一些修改数据的操作,不然还是不能执行。

token值更新速度快,值保存在前端,cookie中和要提交表单中,然后后端进行比较这两值。

生成cookie

def get_token(request):
    """
    Return the CSRF token required for a POST form. The token is an
    alphanumeric value. A new token is created if one is not already set.

    A side effect of calling this function is to make the csrf_protect
    decorator and the CsrfViewMiddleware add a CSRF cookie and a 'Vary: Cookie'
    header to the outgoing response.  For this reason, you may need to use this
    function lazily, as is done by the csrf context processor.
    """
	#如果request.META中没有CSRF_COOKIE,就会给添加一个CSRF_COOKIE字段
    if "CSRF_COOKIE" not in request.META:
        csrf_secret = _get_new_csrf_string()
        request.META["CSRF_COOKIE"] = _salt_cipher_secret(csrf_secret)
    else:
    	#如果有CSRF_COOKIE就解密
        csrf_secret = _unsalt_cipher_token(request.META["CSRF_COOKIE"])
    request.META["CSRF_COOKIE_USED"] = True
    return _salt
最低0.47元/天 解锁文章
fksfdh
关注
专栏目录
一起学习Django框架(十)Django中间件;浅谈CSRF_TOKEN
Simple子夜
04-18 1416
目录Django中间件(MiddleWare)一、什么是中间件二、中间件的作用三、自定义中间件3.1 process_request与process_response方法3.2 process_view方法3.3 process_exception3.4 process_template_responseCSRF_TOKEN一、CSRF是什么二、CSRF攻击原理三、CSRF攻击防范 Django中间件(MiddleWare) 中间件本身是一个很大的范围,比如:数据库中间件、服务器中间件、消息队列中间件等等
django csrf_token生成
amo16617的博客
01-24 228
django模板中生成csrf_token的不同方式 系统环境CENTOS 6.4 python2.7.6 django 1.7.1 当post提交表单的的时候,是需要 csrf_token的, 它需要把request也添加到模板中,第二到第四个例子,会生成 csrf_token 当你用post提交表单,但是没有csrf_token的时候,会提示下面的错误: ...
django 中的 csrf_token
bigdaddy_maybe的博客
09-17 4904
在学习django的时候,在template中写form时,出现错误。要加{% csrf_token %}才可以,之前一直也没研究,只是知道要加个这个东西,具体是什么也不明白。 目的: csrf_token 是为了防止csrf(跨站请求伪造),什么是csrf,这篇文章讲的很好:这里。文章最后也说到了,防止csrf的手段就有给form加个token。 更简单的说:就是防止黑客...
Django token验证
最新发布
XTY__的博客
08-20 132
【代码】Django token验证。
django csrftoken
weixin_30662849的博客
04-04 290
CSRF(跨站请求伪造) 背景知识:浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。浏览器的同源策略并不能阻止CSRF攻击,因为浏览器不会停止js发送请求到服务端,只是在必要的时候拦截了响应的内容。或者说浏览器收到响应之前它不知道该不该拒绝。 攻击过程: 假设abc用...
django设置csrf_token
qq_43593912的博客
05-11 3612
一、关于csrf_token csrf:跨站请求伪造,防止其他人改造,盗取信息,反正就是一种网站的防护措施 服务器端:设置随机的csrf_token,get请求的时候就该设置好 客户端:携带上相应的csrf_token,post请求的时候携带上 二、form表单设置csrf_token 通过模板标签进行设置 当提交post请求的时候会自动带上 三、针对某个类视图设置csrf_token fr...
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
Django:Ajax与csrf_token
HR_tigerking的博客
12-20 982
起因:Ajax提示403错误 闲言碎语:据课程结束还有一周多,js杀我,要加油加油。 CSRF(Cross Site Request Forgery protection),中文简称跨站请求伪造。 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局...
{% csrf_token %}使用无效的问题
weixin_43959331的博客
04-10 6543
关于{% csrf_token %}使用后无效果的解决方法。 以下解决方法纯本人学习过程结合百度得到的认为可行的方法,若大家还有其它解决方法或者有错误的地方,可以在评论中指导指导笔者。 一般情况我们使用pycharm创建一个DJango项目时,在项目根目录下的同名文件夹的setting.py文件里我们通常都能看到有一条设置 'django.middleware.csrf.CsrfViewMidd...
Django+JWT实现Token认证的实现方法
09-19
主要介绍了Django+JWT实现Token认证的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Django中间件CSRF_TOKEN
Mchen的博客
11-23 996
Django中间件类似于django的门户,所有的请求来和响应走走必须经过中间件中间件顾名思义,是介于request与response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出。因为改变的是全局,所以需要谨慎实用,用不好会影响到性能中间件它的执行位置在web服务网关接口之后,在路由匹配之前执行的Django给我们提供了创建自定义中间件的方式,通过创建自定义中间件来实现全局的功能,例如全局用户黑名单校验、全局用户访问频率校验、网站全局用户身份校验等等。
Djangocsrf_token
yang_kaiyue的博客
03-12 132
-
Django---csrf_token
weixin_30783629的博客
12-03 516
1、csrf_token的作用 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。 2、设置csrf_token 对于django中设置防跨站请求伪造功能有分为全局和局部。 (1)全局 settings.py文件中: MIDDLEWARE=[  ......  django.middle...
关于django中的csrf_token
weixin_43700349的博客
05-01 1113
什么是csrf_token csrf_tokendjango的一种安全机制,增加验证,是否是通过get请求先访问页面,然后再进行的提交,否则无法直接提交 当以form表单提交时,django会自动处理csrf_token 但是当使用ajax提交时,不会像form表单那样自动处理,必须手动获取 如何避免csrf_token报错 在from表单中加入{% csrf_token %} <form action='{% url 'LOGIN' %}' method="post"> ..
Django在模板中使用CSRF Token
Nnnn的博客
08-26 1226
CSRF TokenDjango站点的模板中主要应用在form表单,步骤相对简单。在HTML模板中添加“{% csrf_token %}”标记。一般常用对应的两种方法是GET和POST。GET方法把传入参数名称和值格式化包含在URL地址后缀。POST方法则是将参数加密包含在HTTP/HTTPS协议格式的消息之中。对于一些敏感操作,为了避免短时间重复执行,CSRF Token令牌是很有效且必要的措施。...
Django 使用 csrf_token 验证
一VII一 的博客
09-06 2266
使用csrf_token 是需要生成一个安全的令牌(token),为了防止CSRF攻击。 Django 自带用于全局 csrf_token 验证的中间件 django.middleware.csrf.CsrfViewMiddleware。 1、在Django的settings文件中: settings文件中配置完毕后,全局向后台的请求都会使用csrf_token 验证。 2、views文件: 如...
Django使用Token
cfy137000的博客
01-28 8847
基于Token的身份验证 在实现登录功能的时候,正常的B/S应用都会使用cookie+session的方式来做身份验证,后台直接向cookie中写数据,但是由于移动端的存在,移动端是没有cookie机制的,所以使用token可以实现移动端和客户端的token通信. 验证流程 整个基于Token的验证流程如下: 1. 客户端使用用户名跟密码请求登录 2. 服务器收到请求,去验
Djangocsrf-token验证原理
bocai_xiaodaidai的博客
09-19 2465
众所周知,django通过CsrfViewMiddleware中间件下发和校验csrf-token有效性的。 那么,这个中间到底是怎么实现token校验的呢? 首先,django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 csrftoken,并把这个 csrftoken 放在 cookie 里。然后每次 POST 请求都会带上这个 csrftoken。(这个csrftoken的有效期非常长(52周)) 在前后端不分离的django项目中,可以通过{%csrf_token%}标签在表
% load static %和 {% csrf_token %}没有效果
05-19
根据你提供的信息,我猜测你在使用 Django 框架,并且想要加载静态文件和 csrf_token。以下是一些可能的解决方案: 1. 静态文件无法加载:请确保在 settings.py 文件中设置了正确的静态文件路径,并且在 HTML 文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值