(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式
有效的解决方法:在请求地址中添加 token 并验证
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。要抵御 CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。
token 可以在用户登陆后产生并放于 session 之中,然后在每次请求时把 token 从 session 中拿出,与请求中的 token 进行比对,但这种方法的难点在于如何把 token 以参数的形式加入请求
django中csrf的实现机制?
CSRF即跨站伪造请求攻击,是利用用户登录后保存在浏览器中的认证信息(cookie),进行一些恶意操作的过程。 Django预防CSRF攻击的方法:
配置文件中开启CSRF中间件,然后在模板页面中加入{% csrf_token %}
Django渲染该模板时,就会在页面中生成一个csrftoken口令,同时存入cookie一份
用户提交POST表单时,将页面中的csrftoken 和cookie中的csrftoken一起发给服务端,django验证两者是否相等,相等则认为是合法请求,否则报403