Django之CSRF防护

最新推荐文章于 2024-01-18 08:52:03 发布
最新推荐文章于 2024-01-18 08:52:03 发布
阅读量184 收藏
点赞数
分类专栏: Django 文章标签: python django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hehui1uu/article/details/116941723
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

一、CSRF是什么?

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF,这是一种对网站的恶意利用,窃取网站用户信息来制造恶意请求。

二、CSRF防护机制

Django为了防护这类攻击,在用户提交表单时,表单会自动加入csrfmiddlewaretoken隐藏控件。这个控件值会与网站内的csrfmiddlewaretoken值进行匹配,匹配成功,网站才会处理表单数据。

防护原理简介

  1. 在用户访问网站时,网页表单中有一个隐藏控件csrfmiddlewaretoken,控件值由Django随机生成
  2. 提交表单验证表单隐藏控件值是否与Django保存的值一致

csrf防护函数相关介绍

  • 在HTML网页form表单中添加内置标签csrf_token可以实西安CSRF防护
  • 装饰器@csrf_exempt,取消某个视图函数的CSRF防护
  • 装饰器@csrf_protect,对某个视图函数开启CSRF防护【如果取消整个·网站的CSRF防护(注释settings的MIDDLEWARE的CSRF中间件),但又想对个别视图进行防护可用@csrf_protect】

csrf防护的一些补充

  • CSRF防护只适用于POST请求,并不防护GET请求。GET请求是以读写的方式访问网站资源的,一般不涉及网站数据的修改。

每日一图

在这里插入图片描述

学行坚白·
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Djangocsrf防御机制
aaronthon的博客
09-26 246
1、csrf攻击过程 csrf攻击说明: 1.用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3.用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 4.网站B接收到用户请求后,返回一些攻击...
Djangocsrf防护
weixin_45921256的博客
02-28 149
csrf防护的目的:防止别的网站通过不正当手段直接访问或修改我们网站用户的数据库 django中的csrf代码段在settings中 注释掉第三行可以关闭csrf防护djangocsrf防护中(只针对post),浏览器http请求(Forbidden)和ajax(403 2274)请求不一样 前者处理:在模板html内要提交的表单中加上{% csrf_token %} 后者处理:在view...
djangoCSRF防护
笑笑生的博客
06-28 499
CSRF防护一、什么是CSRFCSRF: Cross-site request forgery,跨站请求伪造用户登录了正常的网站A, 然后再访问某恶意网站,该恶意网站上有一个指向网站A的链接,那么当用户点击该链接时,则恶意网站能成功向网站A发起一次请求,实际这个请求并不是用户想发的,而是伪造的,而网站A并不知道。攻击者利用了你的身份,以你的名义发送恶意请求,比如:以你名义发送邮件,发消息,盗取你...
django csrf 防护
xiaobukasi的专栏
05-26 91
作用: 防止跨站伪请求 配置文件: MIDDLEWARE = [ 'django.middleware.csrf.CsrfViewMiddleware', ] 模板: {% csrf_token%} 视图类视图函数默认都加入csrf验证 from django.views.decorators.csrf import csrf_exempt,csrf_protect fbv: 去掉csrf防护 @csrf_exempt 加入csrf防护 @csrf_pro...
Django CSRF防护
运维@小兵的博客
01-27 556
文章目录一、CSRF是什么二、CSRF工作原理三、使用CSRF防护机制四、取消CSRF防护机制 参考视频:https://ke.qq.com/course/320021 一、CSRF是什么 CSRF(Cross Site Request Forgery):跨站请求伪造,实现的原理是CSRF攻击者在用户已经登录目标网站之后,诱使用户访 问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 二、CSRF工作原理 Django怎么验证一个请求是不是CS
django框架CSRF防护原理与用法分析
09-19
主要介绍了django框架CSRF防护原理与用法,结合实例形式分析了Django框架CSRF防护的概念、原理、使用方法及相关操作注意事项,需要的朋友可以参考下
详解DjangoCSRF认证实现
09-20
Django框架内置了CSRF防护机制,通过使用CSRF中间件(CsrfViewMiddleware)来确保POST、PUT、DELETE等修改数据的请求是安全的。DjangoCSRF保护主要分为以下几个步骤: 1. **CSRF中间件**:在Django的设置文件中,...
python DjangoCSRF 对应策略详解
09-18
本文将深入探讨Django中的CSRF防护策略及其工作原理。 CSRF攻击通常发生在用户已经登录一个网站后,攻击者诱使用户访问包含恶意请求的页面。由于用户浏览器中仍保留着之前登录网站的会话信息(如cookie),恶意请求...
Django进阶之CSRF的解决
09-20
Django框架中,CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种重要的安全防护机制,用于保护Web应用免受恶意第三方发起的非法操作。本文将深入探讨Django如何实现CSRF保护,以及如何在实际开发中正确...
Django | 安全防护CSRF跨站伪请求和SQL注入攻击
计算机魔术师的blog
08-22 3951
一、演示CSRF漏洞 二、环境准备 三、模拟黑客🐱‍👤 四、解决办法 五、SQL注入攻击漏洞
Django 解决 csrf_protect的方法
白氏可乐python学习归纳区
11-14 7081
直接看别人的页面吧~~ http://www.qttc.net/201209211.html
Django form 防止csrf 的解决方法
YUAYU博客
09-02 499
解决方法1: Django默认开启防止csrf(跨站点请求伪造)攻击,在post请求时,没有上传 csrf字段时,导致校验失败,报403错误 MIDDLEWARE = [ # 'django.middleware.csrf.CsrfViewMiddleware', ] 注释掉此段代码,即可。 缺点:导致Django项目完全无法防止csrf攻击 解决方法2: 在 views.py文件中: #导入,可以使此次请求忽略csrf校验 from django.views.decorators.csrf impor
【安全】(二)Djangocsrf防御
财迷的博客
02-28 1262
【安全】(二)Djangocsrf防御
DjangoCSRF防攻击原理详解
最新发布
景天科技苑
01-18 1155
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息
DjangoCSRF原理及应用详解
热门推荐
AlexGeek
09-22 1万+
 Web开发中十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造(CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
Django中预防CSRF攻击
但行好事,莫问前程
10-26 2225
CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。
django如何防止csrf(跨站请求伪造)
weixin_41918841的博客
09-01 707
什么是CSRF 什么是CSRF 下面这张图片说明了CSRF的攻击原理: Django如何防止CSRF(跨站请求伪造) Django中如何防范CSRF Django使用专门的中间件(CsrfMiddleware)来进行CSRF防护。具体的原理如下: 1.它修改当前处理的请求,向所有的 POST 表单增添一个隐藏的表单字段,使用名称是 csrfmiddlewaretoken ,值为当前...
DjangoCSRF防护原理及使用
逸尘的专栏
05-29 4911
django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。全局:中间件 django.middleware.csrf.CsrfViewMiddleware局部:@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没
微信中打开Django网页提交表单提示403 csrftoken cookie not set问题解决
u012556900的专栏
03-01 1310
【问题描述】 基于微信的内置浏览器创建文件上传的表单页面实现文件上传的功能,在本地调测完全没有问题,在微信中调测则提示403的错误,打印错误日志发现是csrftoken的cookie没有设置 【原因分析】 具体原理参考 http://www.jianshu.com/p/9346bbc3a8f1 【解决方法】 表单的form中加入 {% csrf_token %} //生成隐藏
Django中的CSRF(跨站请求伪造)
05-19
Django中提供了内置的CSRF防护机制,来保护应用程序免受此类攻击。 Django中的CSRF防护机制是通过在表单中添加一个CSRF令牌来实现的。这个令牌会在服务器端生成,并在表单中作为隐藏字段传递给客户端。当表单被提交...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值