django的csrf验证机制以及403、400异常的排查方法

最新推荐文章于 2023-12-04 10:33:05 发布
最新推荐文章于 2023-12-04 10:33:05 发布
阅读量526 收藏 2
点赞数 1
分类专栏: Python 文章标签: django 403 400 CSRF ALLOWED_HOSTS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kuanggudejimo/article/details/99410586
版权

一、CSRF验证

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF。是一种对网站的恶意利用。

Django通过在post请求中添加csrfmiddlewaretoken参数进行验证,防止CSRF攻击。

添加csrfmiddlewaretoken参数的几种方式:

1. 在一般的form表单中使用{% csrf_token %}标签

<!DOCTYPE html><html><body>
  <form action="/user/login/" method="post">
    {% csrf_token %}
  </form>
</body></html>

django的模板会自动把{% csrf_token %} 渲染成<input>标签:

<!DOCTYPE html><html><body>
  <form action="/user/login/" method="post">
    <input type="hidden" name="csrfmiddlewaretoken" value="***********">
  </form>
</body></html>

2. 在一般的form表单中使用{{ csrf_token }}标签

<!DOCTYPE html><html><body>
  <form action="/user/login/" method="post">
    <input type="hidden" name="csrfmiddlewaretoken" value="{{ csrf_token }}">
  </form>
</body></html>

得到的结果是一样的

<!DOCTYPE html><html><body>
  <form action="/user/login/" method="post">
    <input type="hidden" name="csrfmiddlewaretoken" value="***********">
  </form>
</body></html>

 3. 在ajax的post提交中

在基本模板中添加,所有ajax提交的post数据中都会自动带上csrfmiddlewaretoken参数。

<script type="text/javascript">$.ajaxSetup({data: {csrfmiddlewaretoken: '{{ csrf_token }}' }});</script>

4. 在视图函数中返回csrf_token的值

from django.http import JsonResponse
from django.middleware.csrf import get_token


def get_csrf_token(request):
    return JsonResponse({'csrf_token': get_token(request) or 'NOTPROVIDED'})

二、访问异常

1. 403异常

Django的django.middleware.csrf.CsrfViewMiddleware中间件会在每次收到POST请求时进行以下操作:

        a. 通过一定的规则校验请求的Referer是否正常

        b. 若Referer是正常的,校验Referer的主机名是否包含在CSRF_TRUSTED_ORIGINS中

        c. 若前面的校验通过,用加密算法校验cookie中的csrftoken值和POST的csrfmiddlewaretoken值的关系

        d. 若上面的任意一步校验失败则返回403异常

因此启用该中间件后POST请求需要满足以下条件,否则会返回403异常:

        a. 请求头中包含正确的Referer值

        b. settings文件中配置了正确的CSRF_TRUSTED_ORIGINS值

        c. POST请求发送的数据中包含正确的csrfmiddlewaretoken值

        d. 请求头的cookie中包含正确的csrftoken值

2. 400异常

Django关闭调试模式后,需要把允许访问的IP地址加入到settings的ALLOWED_HOSTS中,否则不在ALLOWED_HOSTS列表中的IP地址访问网站会得到400异常。

旷古的寂寞
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
亚马逊价格追踪器:带有django和beautifulSoup的亚马逊价格追踪器
02-09
Django提供了一些内置的错误处理机制,同时,开发者可以使用logging库来记录程序运行过程中的信息,便于调试和问题排查。 10. 安全性: 项目应考虑安全性问题,比如防止跨站脚本攻击(XSS)和跨站请求伪造(CSRF)...
Django_webhacking
02-16
Django内置了一些安全机制,如XSS(跨站脚本)和CSRF(跨站请求伪造)防护,以及SQL注入防御。这些功能通过默认模板引擎的自动转义、使用CSRF中间件以及使用参数化查询来实现。在开发过程中,开发者应充分利用这些...
django开发过程中,报错CSRF t…
biboshouyu的博客
11-15 368
解决方法: 1、查看浏览器有没有禁用cookie,有的话开启。 2、检查settings.py文件的MIDDLEWARE_CLASSES中是否有 'django.middleware.csrf.CsrfViewMiddleware',没有则添加 3、 在 templete 中, 为每个 POST form 增加一个 {% csrf_token %} tag. 如下:
在内部局域网只能使用IP访问的电脑中利用宝塔面板部署Django项目,如何解决CSRF验证问题?
一个生活在临武县城的Python语言工程师
12-04 1344
在你的 Django 模板中的表单标签内包含。这会自动处理 CSRF token 的生成和验证。: 如果你的 Django 项目版本是 3.0 以上,需要在文件中添加内网 IP 地址到列表中,例如:这里假设是你内网中访问 Django 项目的 IP 地址。如果你的局域网中有多个子域,可以使用通配符来匹配。: 确认MIDDLEWARE配置中包含。如果没有,请添加它。: 由于你是通过 IP 地址而非域名访问应用,可能不需要设置或者设置为None(默认值)。
django发送Ajax请求数据返回403
HHYZBC的博客
05-27 1392
django中,使用Ajax直接发送数据返回403原因是django自带了一个防止跨站请求伪的功能,使用表单发送数据时在表单下面使用csrf_token标签即可,而使用Ajax发送post请求时,csrf_token标签是不会起作用的。其解决方法是:在处理改请求的函数前面加上叫做csrf_exempt的装饰器,作用是该url所发送的post请求不再防止跨站请求伪。 @csrf_exempt def task_ajax(request): print(request.POST) data
Django 配置CSRF(跨站点请求伪造)保护
qq_39046786的博客
06-16 2527
Django 配置CSRF(跨站点请求伪造)保护 配置 在项目的setings.py文件中 添加如下。 MIDDLEWARE = [ 'django.middleware.csrf.CsrfViewMiddleware', ] 跨域请求伪造保护实现主要分为两步 第一步: DjangoCSRF 保护要求请求的Referer 标头与标头中存在的来源相匹配Host。例如,这可以防止针对 的POST请求subdomain.example.com成功api.example.com。如果您需要
Django4.0新特性-主要变化
SteveRocket's-Blog
03-18 1657
Django 4.0 release notes
Python库 | django-belt-1.5.0.tar.gz
03-02
- CSRF 保护:增强了默认的 CSRF 保护机制,确保用户提交的数据安全无虞。 - 日志审计:增加了对敏感操作的记录,便于追踪和排查问题。 2. **实用工具:** - 时间和日期处理:提供了更方便的时间和日期操作函数...
基于Django的智能药品管理系统设计与实现
最新发布
03-24
8. **安全性**:Django自身具有防止SQL注入、跨站脚本攻击等的安全特性,但开发者仍需关注数据验证、输入过滤、CSRF防护等方面。 9. **性能优化**:通过缓存策略、数据库索引优化、异步任务处理(如Celery)等方式...
Curso_Django:使用Django和Python建立登陆网页的课程
04-10
10. **CSRF保护**:学习Django的跨站请求伪造(CSRF)防护机制,确保用户登录的安全性。 11. **测试与调试**:编写单元测试,确保登录功能的正确性,并学习如何使用Django的调试工具进行问题排查。 12. **部署**:...
django中使用CSRF出现403错误的解决办法
Jxc的个人博客
09-04 2107
一.什么是 csrf ?   简单的说,它的中文名叫做“跨域请求伪造。复杂的可以看这里 二.Django中如何使用csrf?  2.1新手的常犯错误   如果你是初学Django,那你很可能会遇到这样一个问题——在前端用post请求传值的时候,莫名出现了以下错误… 1.上图中的箭头所指便是产生错误的主要原因——“CSRF验证失败,请求被丢弃”。 2.而蓝色框中的内容便是使用CS...
Django提交表单时遇到403错误:CSRF verification failed
hj1993的博客
03-23 183
原因:有一个真正的跨站请求伪造,或当DjangoCSRF机制还没有正确使用。
DjangoCSRF保护引起的403 FORBIDDEN
热门推荐
ybdesire的专栏
09-03 1万+
Django写了一个API,专门处理客户端发来的POST请求。结果每一次客户端JS发送POST请求,都得到403的Error。Google搜“django 403 forbidden ajax post”,在神奇的stackoverflow上发现了答案 。 原来是DjangoCSRF保护机制导致的。CSRFCSRF是跨站点请求伪造,简单来说就是用户在访问受信任网站后,浏览器记录了受信任网站的co
http请求 报错(403)的解决方法 django的form表单请求(get和post)django的form表单类(用于后端校验字段属性)CSRF
langdei的博客
09-17 2748
文章目录1.认识http请求1.请求的方式2.响应码3.请求request对象的方法4.获取请求传递的参数二、发送post请求的时候,报403(csrf)错误的两种解决方法1.在settings文件的中间件中将csrf验证注掉2.在html中添加3.CSRF的介绍三、Django的form表单请求1.form表单 get请求2.通过form输入文章标题,搜索文章名字3.form表单post请求四、...
k8s部署Django项目换了域名后出现Forbidden (403) CSRF verification failed.错误
weixin_44806146的博客
06-28 599
解决k8s部署Django项目换了域名后出现Forbidden (403) CSRF verification failed.错误
Django的POST请求时因为开启防止csrf,报403错误,及四种解决方法
weixin_34050519的博客
09-29 1605
Django默认开启防止csrf(跨站点请求伪造)攻击,在post请求时,没有上传csrf字段,导致校验失败,报403错误 解决方法1: 注释掉此段代码,即可。 缺点:导致Django项目完全无法防止csrf攻击 解决方法2: 在views.py文件中 #导入,可以使此次请求忽略csrf校验 from django.views.decorators.csrf import...
django中间件CSRF
majiayu000的博客
06-15 187
在前后端分离的项目中,经常会遇到csrf forbidden这种情况。这时候需要在中添加一些配置。
接口报403,报CSRF验证失败的问题
aliven1的博客
05-26 1万+
问题定位:后台两个接口重命,走了优先级更高的接口,接口没有过滤CSRF; 一、csrf是什么 CSRF(Cross-site request forgery)跨站请求伪造,是一种常见的web安全漏洞,概括地说就是指,攻击者通过浏览器保存的Cookie盗用了你的身份,以你的名义给某个网站发送恶意请求,这些恶意请求包括但不限于发邮件、修改账户信息、购买商品、转账等等,如果这个网站没有防御csrf攻击的话,那么这些恶意请求可能会请求成功,从而泄露了个人的隐私安全和财产安全。怎么样,听着够严重吧。 二、.
django csrf 引起的403解决方法
05-25 3363
django csrf 引起的403解决方法form表单<form class="am-form" id="edit" method="post" action="/submit/">{% csrf_token %} </form>js请求function getCookie(name) { var cookieValue = null; if (document.cookie &&
djangocsrf的实现机制
06-10
Django中的CSRF(Cross-Site Request Forgery)机制可以防止跨站点请求伪造攻击。DjangoCSRF机制的实现基于以下两个元素: 1. CSRF令牌:每个表单都会包含一个隐藏的CSRF令牌,这个令牌是服务器随机生成的,并且...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值