flask django 的 csrf对比

最新推荐文章于 2024-04-24 09:32:19 发布
最新推荐文章于 2024-04-24 09:32:19 发布
阅读量481 收藏 1
点赞数
分类专栏: django flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/json_steve/article/details/79069749
版权

flask实现csrf:
在访问页面时,后台就会利用from flask_wtf.csrf import generate_csrf生成csrf,并且把他存储到cookie里。
csrf_token = generate_csrf()
response.set_cookie(‘csrf_token’, csrf_token)
生成的csrf会默认存到session中,存到redis里。
当用户post提交请求时,可以从cookie中拿到csrf信息设置到请求头中,发送给后台,
headers: {
“X-CSRFToken”: getCookie(“csrf_token”)
},
后台利用from flask_wtf.csrf import CSRFProtect进行验证
csrf = CSRFProtect()
这个函数会在session中和提交的请求头中获取2个csrf信息,然后比较是否通过。

而django实现csrf保护,首先需要打开中间件’django.middleware.csrf.CsrfViewMiddleware’,并且在模板中form提交时加上{% csrf_token %}
这回使模板添加了一个隐藏的input字段,name = ‘csrfmiddlewaretoken’,值就是对应的csrf的值,所以如果你想要动态向post请求,
csrf = $(‘input[name=”csrfmiddlewaretoken”]’).val()
params = {‘csrfmiddlewaretoken’:csrf}
params放到ajax中
当启用中间件并加入标签csrf_token后,会向客户端浏览器中写入一条Cookie信息,这条信息的值与隐藏域input元素的value属性是一致的,
提交到服务器后会先由csrf中间件进行验证,如果对比失败则返回403页面,而不会进行后续的处理。

Json_Steve
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django csrf 验证问题的实现
09-20
csrf是通过伪装来自受信任用户的请求来利用受信任的网站。这篇文章主要介绍了Django csrf 验证问题的实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Flask实现CSRF保护
热门推荐
rongDang的博客
07-17 1万+
  参考官方文档  CSRF跨站请求伪造,源于WEB的隐式身份验证机制,WEB的身份验证机制虽然可以抱着一个请求时来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。  例如,用户登录受信任的网址A,在本地生成了Cookie,在Cookie没有失效的情况下去访问了危险网站B,B可能会盗用你的身份,以你的名义去发送恶意请求,邮件,盗取你的账号,设置购买商品,造成你个人隐私泄露,已经财产安...
学习FlaskCSRF
吴家健ken的博客
07-26 873
什么是CSRF,不多解释,简单点说,就是防止网站的form 被跨域重复提交。 要使用CSRF,可以利用flask_wtf 自带的CSRF,这样就要结合flask_wtf 的Form 表单一起实现了。 继续从这个项目中说起 首先,都是需要卸载flask_wtf $ pip install Flask-WTF 在extendsions.py 中引用 from flask_wtf import CSRFProtect ...... csrf = CSRFProtect() 在__init__.py 初始化
使用 Flask-WTF 防止跨站请求攻击(CSRF):一份全面指南
PythonWeb实践
04-17 884
通过以上步骤,我们已经成功地在 Flask 应用中实现了 Flask-WTF 的 CSRF 保护功能。这将确保我们的应用在处理表单数据时具有更高的安全性。使用 Flask-WTF 防止跨站请求攻击(CSRF):一份全面指南。
Flask框架——CSRF保护
HMMHMH的博客
10-12 531
目录CSRF攻击如何防御CSRF攻击Flask框架中的CSRF保护机制 CSRF攻击 CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账… 造成的问题:个人隐私泄露以及财产安全。 攻击示意图: 如何防御CSRF攻击 在客户端...
Flask中的csrf_token的设置
qq_44906497的博客
10-18 189
【代码】Flask中的csrf_token的设置。
python/Django对接dingtalk-sdk企业内部开发对接钉钉过程手记
Runaway_pilot
04-02 4216
python/Django对接dingtalk-sdk企业内部开发对接钉钉过程手记
vue-resource post数据时碰到Django csrf问题的解决
10-15
主要介绍了vue-resource post数据时碰到Django csrf问题的解决,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
django 取消csrf限制的实例
09-17
主要介绍了django 取消csrf限制的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Django CSRF跨站请求伪造防护过程解析
09-18
主要介绍了Django CSRF跨站请求伪造防护过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Django | 开发】权限划分(行为&数据集)&集成钉钉消息(案例:面试招聘信息网站)
计算机魔术师的blog
07-19 780
1. hr 和超级用户 可以看到全部信息 2. 一面面试官只能看到自己负责的一面面试信息 3. 二面面试官只能看到自己负责二面面试信息 4. 普通管理员(还未被指定一面或者二面面试官)只能修改候选人信息 .....................
Flask框架 CSRF 保护实现方法详解
09-18
主要介绍了Flask框架 CSRF 保护实现方法,结合实例形式详细分析了Flask-WTF针对CSRF攻击的防护相关操作技巧,需要的朋友可以参考下
使用Django构建钉钉企业应用:一个实践示例
最新发布
gitblog_00069的博客
04-24 367
使用Django构建钉钉企业应用:一个实践示例 项目地址:https://gitcode.com/007gzs/dingtalk-django-example 本文将向您介绍dingtalk-django-example项目,这是一个利用Python的Django框架与钉钉API结合开发的企业应用实例。我们将讨论项目的核心技术、用途以及其独特之处,以帮助开发者更好地理解和利用此项目。 项目简介 d...
flask中的csrf防御
zy_whynot的博客
03-25 719
flask中的csrf防御机制 两种方式: 方式一: 1、在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值 2、在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token 3、在用户点击提交的时候,会带上这两个值向后台发起请求 4、后端接受到请求,以会以下几件事件: (1)从 cookie中取出 csrf_token (2)从 表单数......
django+python实现钉钉接口调用,读取钉钉上填写的表单信息
四平的博客
02-20 5791
@TOdjango实现钉钉接口调用,读取钉钉上填写的表单信息C 在公司实习,需要调用钉钉上面的某个表单信息在自己的网站上显示。主要难点在如何获取这些表单数据信息。 企业的话,需要企业钉钉管理员账号,或者让管理员给你开放权限:开发者模式。 实现流程: (1)在获取开发者权限后,进入钉钉开放平台创建应用,直接百度搜索“钉钉开放平台”就行。 (2)登录后,切换到应用开发,因为我这里上网站与钉钉的结合,所以我这里选择的企业内部开放–H5微应用,其他应用的博主们,可以查看钉钉API文档具体操作。 (3)创建应用,
【python+钉钉】钉钉端H5企业应用免登陆 Python3.7+Django3.2.5 后端使用auth_code获取当前钉钉登录用户userId等信息
在红尘中争渡
07-06 3465
钉钉端H5企业应用免登陆 根据前端传回的auth_code获取当前用户的userId等用户信息.
跨站请求伪造CSRF以及Flask中的解决办法
weixin_30535043的博客
07-03 170
CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。 CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 ...
Flask 项目中解决csrf攻击
yutu75的博客
11-22 807
首先装个库吧,命令如下: pip install flask_wtf 在 Flask 中, Flask-wtf 扩展有一套完善的 csrf 防护体系,对于我们开发者来说,使用起来非常简单 设置应用程序的 secret_key,用于加密生成的 csrf_token 的值 # 1. session加密的时候已经配置过了.如果没有在配置项中设置,则如下: app.secret_key = "#此处可以写随机字符串#" # 2. 也可以写在配置类中。 class Config(object): DE
django CSRF verification failed. Request aborted.
06-15
这个错误通常是由于 DjangoCSRF 保护机制导致的。DjangoCSRF 保护是一种安全机制,用于防止恶意网站利用用户的身份在你的网站上执行一些操作。在 Django 中,当用户提交表单时,Django 会生成一个 CSRF 令牌并将其存储在用户的会话中。然后,在表单中添加一个隐藏的 input 标签,将该令牌作为值传递。当用户提交表单时,Django 会检查提交的令牌是否与存储在用户会话中的令牌匹配。如果令牌不匹配,则会出现 "CSRF verification failed" 错误。 解决这个问题的方法是,在表单中添加 {% csrf_token %} 标签。比如: ``` <form method="post"> {% csrf_token %} <!-- 其他表单控件 --> <input type="submit" value="提交"> </form> ``` 这个标签会生成一个隐藏的 input 标签,并将当前用户的 CSRF 令牌作为值传递。这样可以确保表单提交时,Django 能够正确验证 CSRF 令牌。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值