Django框架之CSRF使用篇

最新推荐文章于 2024-05-14 10:10:43 发布
最新推荐文章于 2024-05-14 10:10:43 发布
阅读量772 收藏 1
点赞数 1
分类专栏: # Django 文章标签: csrf python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/json_ligege/article/details/131683875
版权

Django框架之CSRF使用篇

目录

全局使用

设置csrf token

表单使用

脚本使用

单独豁免

引入csrf类库

设置单独豁免csrf

单独保护

关闭全局csrf

引入csrf库

设置函数保护

csrf token配置

总结

全局使用

Django项目配置中默认全局使用csrf中间件,注释掉即可不再使用,

不过不建议如此这样不安全。

 

设置csrf token

表单使用

在form表单中直接使用csrf token模板标签,在提交时自动csrf验证。

{% csrf_token %}

 

脚本使用

在项目中,很多操作需要ajax来操作提交。

通过查看源代码可看到csrf token标签是在表单中创造了一个名称为csrfmiddlewaretoken(默认情况)的隐藏输入框。

Js获取并设置token

let csrf = $('input[name="csrfmiddlewaretoken"]').val()

   $.ajax({
           type: 'POST',
           url: "/media_list",
           data: {csrfmiddlewaretoken:csrf},
           dataType: 'json',
           success: function (data) {
// 将mp3list赋值给this.songs
this.songs = data.list;
// 调用渲染歌曲列表的方法
this.renderSongList();
           }.bind(this),
           error: function (e) {
               console.log("ERROR : ", e);
          }
   });

 

单独豁免

有时候方法不想设置csrf保护,这时候就可以使用csrf装饰器。

引入csrf类库

from django.views.decorators.csrf import csrf_exempt

 

设置单独豁免csrf

使用csrf_exempt来单独豁免此方法不进行csrf验证

@csrf_exempt
def upload_music(request):

单独保护

比较适合,大部分函数方法不需要验证csrf,只有少部分需要验证的情况下。

关闭全局csrf

修改settings.py中中间件处,注释掉csrf中间件。

 

引入csrf库

from django.views.decorators.csrf import csrf_protect

设置函数保护

设置视图中的方法,使用csrf_protect装饰器,来对upload_music方法单独进行csrf验证。

@csrf_protect
def upload_music(request):

csrf token配置

在settings.py 中可对csrf属性设置,可设置属性为:

CSRF_HEADER_NAME = 'HTTP_X_CSRF_AARONTOKEN'
CSRF_COOKIE_SAMESITE = 'Strict'
CSRF_COOKIE_NAME = 'MyCookie'
CSRF_COOKIE_HTTPONLY = False
CSRF_COOKIE_SECURE = False
CSRF_TRUSTED_ORIGINS = []

总结

Csrf验证在项目中对于安全非常重要,通过上述的csrf设置与使用,对django框架又增加了一些了解,在使用上可以更加的灵活。

JSON_L
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Python Django框架防御CSRF攻击的方法分析
12-31
本文实例讲述了Python Django框架防御CSRF攻击的方法。分享给大家供大家参考,具体如下: 项目名/settings.py(项目配置,csrf中间件配置): MIDDLEWARE_CLASSES = ( 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', # django默认启用了csrf防护,只针对post表单提交进行防护。 '
Django3-Xadmin3修复版.zip
05-09
Xadmin2和Django3不兼容,为了让它们协调工作修改其源码,此为修复版! 使用方法:将Django-3.0.6.tar.gz和xadmin-django3.0.6.tar.gz解压缩,使用setup方式安装即可!
djangocrsf机制防御详解及在前后端分离中post数据到django-vue
weixin_30588675的博客
12-01 217
djangocrsf机制防御详解及在前后端分离中post数据到django 更新于:2018-07-28|分类于django CSRF(Cross Site Request Forgery) 跨站点伪造请求 某个用户已经登陆了你的网站,另外有一个恶意的网站有一个指向你网站的链接,那么当用户点击这个链接时,就会请求你的网站,但是你的网站以为是用户发来的请求,这时恶意网站就得逞...
Django CSRF
光明小学王小雨的博客
12-16 1724
一、CSRF攻击攻击原理及过程 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式 1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B...
Django解决CRSF问题
卧龙居
10-20 1705
1.在form中加入{% crsf_token %} 2.使用RequestContext而非Context,在view中: return render_to_response('login.html',RequestContext(request,{'username':username})) (from django.shortcuts import render_to_response
Django 之前端获取 csrftoken 的几种方式以及源码解释(超详细)
她°
06-10 4292
如果是前后端不分离的项目,django 为了防止 XSS 攻击,要求所有 form 表单提交时加上 标签,前端会再 html 中加入一个 input 标签 这个中间件就是来验证 csrf_token 如果没有加,就会出错,这个 token 每次刷新页面时都会刷新,客户在请求时。会再服务器端生成一个 token,然后放在 cookie里面,每次 post 请求都会带上这个 token,去和表单里面的去对比。官⽅⽂档中说到,检验token时,只⽐较secret是否和cookie中的secret值⼀样,⽽不是
Django框架(26.Django中的CSRF以及登录装饰器)
Mogul的博客
09-02 248
CSRF简介 CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 CSRF示意图如下: 如果想防止CSRF,首先是重要的信息传递都采用POST...
Django CSRF(什么是CSRF?)\Django后端分离csrf token获取方式
西京刀客
12-07 1422
Django CSRF 浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。 浏览器的同源策略并不能阻止CSRF攻击。 什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是跨站请求伪造。 Django CSRF django为用户实现防止跨站请求伪造的功能,通过中间件django.middleware.csrf.CsrfViewMiddle
Django后端分离时CSRF的处理方法
MSB4011的博客
05-19 360
具体方式:通过调用middleware.csrf的get_token(request)函数设置csrftoken。
Python web实战之Django 的跨站点请求伪造(CSRF)保护详解
Rocky006的博客
08-16 1252
本文详细介绍了 Django 中的跨站点请求伪造(CSRF)保护机制。实际开发中,仅仅靠CSRF机制并不是绝对安全的,还应该结合其他安全措施,综合多种技术来确保应用程序的安全性。
Django 配置CSRF(跨站点请求伪造)保护
qq_39046786的博客
06-16 2453
Django 配置CSRF(跨站点请求伪造)保护 配置 在项目的setings.py文件中 添加如下。 MIDDLEWARE = [ 'django.middleware.csrf.CsrfViewMiddleware', ] 跨域请求伪造保护实现主要分为两步 第一步: DjangoCSRF 保护要求请求的Referer 标头与标头中存在的来源相匹配Host。例如,这可以防止针对 的POST请求subdomain.example.com成功api.example.com。如果您需要
python 零基础学习python课程django框架21 CSRFdjango使用 .mp4
04-21
python 零基础学习
django框架CSRF防护原理与用法分析
12-31
本文实例讲述了django框架CSRF防护。分享给大家供大家参考,具体如下: CSRF防护 一、什么是CSRFCSRF: Cross-site request forgery,跨站请求伪造 用户登录了正常的网站A, 然后再访问某恶意网站,该恶意网站...
Django CSRF 说明与配置
wanglei_storage的博客
12-21 3440
Django 默认对GET请求不做CSRF防御机制 Django 只对POST请求做CSRF防御机制 一、CSRF是什么 CSRF 全称(Cross Site Request Forgery)跨站请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。你可以这样理解:攻击者(黑客,钓鱼网站)盗用了你的身份,以你的 名义发送恶意请求,这些请求包...
Django中的CSRF使用及ajax请求接口时问题总结
Colinspace
11-23 1159
总结Django的常规使用CSRF的情况,以及如何在AJAX 中请求后端接口的时候,使用 CSRF
Django REST Framework之视图
kuokay的博客
10-24 388
Django REST Framework之视图二一.基于视图集基类ViewSet二.基于视图集基类GenericViewSet三.基于视图集基类ModelViewSet四.基于视图集基类ModelViewSet由于在ViewSet中,没有提供任何动作action方法,需要我们自己实现action方法。对于视图集ViewSet,我们除了可以自己手动指明请求方式与动作action之间的对应关系外,还可以使用Routers来帮助我们快速实现路由信息。 一.基于视图集基类ViewSet 上一我们说了使用Gene
Django csrf 两种方法设置form
u013023781的专栏
03-12 3804
第一种方法,在视图函数上边添加一条语句 @csrf_exempt 例子: @csrf_exempt def login(request): return render_to_response('app/login.html', locals()) 上边的方法是取消csrf的防御机制。 第二种方法,给出例子,主要为在html的form里面加入{% csrf_token %}这句
django设置csrf_token
qq_43593912的博客
05-11 3568
一、关于csrf_token csrf:跨站请求伪造,防止其他人改造,盗取信息,反正就是一种网站的防护措施 服务器端:设置随机的csrf_token,get请求的时候就该设置好 客户端:携带上相应的csrf_token,post请求的时候携带上 二、form表单设置csrf_token 通过模板标签进行设置 当提交post请求的时候会自动带上 三、针对某个类视图设置csrf_token fr...
CSRF 攻击实验:无防御措施的 CSRF 漏洞
最新发布
Flag少侠的博客
05-14 1483
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求。CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
django框架下,CSRF verification failed. Request aborted.
03-28
Django 框架下,CSRF 验证失败通常是因为在提交表单时,服务器无法验证请求是否来自合法的用户。这可能是因为用户会话过期或被注销,或者跨站点请求伪造攻击。 要解决这个问题,可以在表单添加一个 CSRF 令牌...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JSON_L

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值