处理Django的csrf跨站请求保护机制

最新推荐文章于 2024-05-11 21:29:58 发布
最新推荐文章于 2024-05-11 21:29:58 发布
阅读量218 收藏
点赞数
分类专栏: web django
原文链接:https://blog.csdn.net/a1496785/article/details/82887211
版权

三种方法:

方法一:在form表单中加入{% csrf_token %},达到保护要求避免这个机制生效,csrf_token的作用就是通过渲染,将token替换为一个input,value等于随机数token的标签,然后提交,提交的时候会提交随机数token,然后在服务器端进行token验证。如:

<form action="" method="post" enctype="multipart/form-data">   
 {% csrf_token %}       
   <div align="center">        
      <input type="file" name="use_head_photo" class="btn btn-default" >
   </div>    
  <input type="submit"class="btn btn-default" value="提交" name="submit_user_photo">
</form>

方法二:为视图函数添加@csrf_exempt 修饰,取消csrf_token验证,失效机制

方法三:setting.py中在MIDDLEWAY中禁用csrf一项(django.middleware.csrf.CsrfViewMiddleware)来禁用中间件,注意这个方法是全局禁用

咻哈
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python web实战 | 细说 Django跨站请求伪造(CSRF保护
Saki_Python的博客
08-16 450
本文详细介绍了 Django 中的跨站请求伪造(CSRF保护机制。实际开发中,仅仅靠CSRF机制并不是绝对安全的,还应该结合其他安全措施,综合多种技术来确保应用程序的安全性。
Django_CSRF_原理分析
Golang & Python 我的最爱
09-19 2065
关于CSRFCSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。
DjangoCSRF 保护机制
weixin_34348174的博客
12-02 204
django 有多久,我跟 csrf 这个概念打交道就有久了。 每次初始化一个项目时都能看到 django.middleware.csrf.CsrfViewMiddleware 这个中间件 每次在模板里写 form 时都知道要加一个 {% csrf_token %} tag 每次发 ajax POST 请求,都需要加一个 X_CSRFTOKEN 的 header 但是一直我都是...
2024年网络安全最全【Django网络安全】如何正确防护CSRF跨站请求伪造_drf csrf,2024年最新网络安全开发经典实战
最新发布
2401_84301853的博客
05-11 947
CSRF(Cross-site request forgery),中文名跨站请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器中的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
Django解决跨站请求保护机制
LI4836的博客
06-29 327
使用django提交表单,出现CSRF verification failed. Request aborted. 这是因为django有一个跨站请求保护机制,这需要我们在html文件中的form标签中加入一行{% csrf_token %}。
django跨站保护机制CSRF
a1496785的博客
09-28 891
CSRF:Cross-site request forgery,叫做跨站请求伪造,是指伪装来自受信任用户的请求来利用受信任的网站完成攻击。 下面是我在网上看到的一个比较好的通俗的解释:    受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/withdraw?account=bob&amp;amount=1000000&amp;for=bob2...
关于Django开启跨站请求安全机制
weixin_34226182的博客
12-15 78
1. Project setting.py开启CSRF2. Template 中html的form表单,仅post方法a) 加入{% csrf_token %}3. View 函数中,使用RequestContext代替Context同一project下所有代码需同时改正,否则会导致post方法提交表单不可用并报错。 转载于:https://b...
Django——CSRF防御
小白一直白
01-28 440
关于CSRF攻击原理在上一篇博客已经有过说明,这篇主要介绍下Django关于开启CSRFCSRF工作机理。关于开启防御有两种,一种是全局开启,另一种是局部开启。 全局: 中间件 django.middleware.csrf.CsrfViewMiddleware 局部:from django.views.decorators.csrf import csrf_exempt,csrf_prot...
flask中CSRF保护机制
Junc_hu的博客
10-14 363
如果是发送from表单, 则使用原来的隐藏表单的形式(生成&amp;派发令牌) &lt;form method="post" action="/"&gt; &lt;input type="hidden" name="csrf_token" value="{{ csrf_token() }}" /&gt; &lt;/form&gt; 如果是AJA
跨站请求伪造保护
yangdi1206的博客
03-29 451
默认情况下,Flask-WTF能保护所有的表单免受跨站请求伪造(Cross-Site Request Forgery, CSRF)的攻击。恶意网站把请求发送到被攻击者已经登陆的其他网站时就会引发 CSRF攻击。 Flask-WTF实现CSRF保护:需要程序设置一个密钥,Flask-WTF使用这个密钥生成加密令牌,再用令牌验证请求中表单数据的真伪。 app.config字典可以用来存储
djangoCSRF的问题及解决
06-05
CSRF是Cross Site Request Forgery的缩写,称其为“跨站请求伪造”。常与XSS想提并论,但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以有时候被认为比XSS更具危险性。
csrf防护机制
凉茶铺的博客
07-17 2026
CSRF(Cross-siterequestforgery),中文名称跨站请求伪造你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括个人隐私泄露以及财产安全。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如。...
Django CSRF
光明小学王小雨的博客
12-16 1822
一、CSRF攻击攻击原理及过程 CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络的攻击方式 1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B...
Django, csrf
rcompass1107的专栏
10-14 711
I have recently updated a website from Django 1.0 to 1.3. One of the changes introduced wasautomatic protection against CSRF attacks. For the most part, this works great, but I have a problem with c
django CSRF
u014379665的专栏
03-14 337
什么是CSRF 问题是解决了,但我不禁回想为什么在Django里提交POST表单要配置那么麻烦(其实也不麻烦,但对新手来说就不一样了),于是搜索关键字看看,得知它是一种跨站请求伪造,黑客可以利用这个攻击站点。而Django里的使用这个机制就是防止CSRF模式攻击,原理大致是当你打开页面的时候产生一个csrftokey种下cookie,然后当你提交表单时会把本地cookie里的csrftoke
djangocsrf
qq_39112101的博客
07-16 289
CSRF跨域伪造攻击 使用当前浏览器还在生效状态的cookie对指定网站进行操作。最初针对的是银行网站的转账。 Django本身会对csrf进行校验,在django的1.4版本之前,csrf默认关闭,需要在settings当中手动开启,在1.4之后,默认开启。在settings.py中csrf的配置如下。 如何防止csrfdjango的任何post请求,都会在请求之初,给...
djangocsrf
Qdynasty的博客
12-21 203
djangocsrf相当于中间件,CSRF的作用则是对请求进行一次验证,目的是为用户实现防止跨站请求伪造的功能。对于django中设置防跨站请求伪造功能有分为全局和局部。 相对应的对于form表单以POST提交方式而言,需要携带csrf随机字符串才能拿通过,在html界面中需要添加这样。 &lt;form action="/add/" method="post"&gt; {% csr...
DjangoCSRF 机制
十年饮冰,难凉热血
11-18 309
在理解Django中的CSRF机制前,可以先补一补基础知识 官网对于CSRF的说明 pythenweb 开发中的csrf机制 CSRF全称 Cross-site request forgery (CSRF) 很简单的一个知识点,就是一个跨站请求伪造保护,看一下官网对于CSRF的说明和csrf机制两篇文章对CSRF机制有个初步理解。 实战 CSRF机制的载体Django自带的中间件 知识点部...
Django中的CSRF(跨站请求伪造)
05-19
CSRF(Cross-Site Request Forgery)即跨站请求伪造,是一种常见的Web...总之,DjangoCSRF防护机制可以有效地保护应用程序免受跨站请求伪造攻击。如果你的应用程序涉及到敏感数据或者操作,一定要开启CSRF防护机制
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值