Django的csrf中间件

最新推荐文章于 2022-12-11 20:28:55 发布
最新推荐文章于 2022-12-11 20:28:55 发布
阅读量330 收藏
点赞数
分类专栏: web开发 文章标签: django csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37906230/article/details/84649577
版权

Django的csrf中间件

CSRF:跨站请求伪造Cross Site Request Forgery

CSRF的攻击流程

用户a 访问可信站点1做业务处理,此时浏览器会保存该网站的cookie,当用户a 访问不可信站点2时,如果站点2有指向站点1的链接时候,那么攻击就用可能发生

Eg:

1、包含站点1的链接,点击跳转

2、img 的src属性值是站点1的链接

3、Js加载,js里有跳转的动作

Django的解决方法

Django预防CSRF攻击的方法是在用户提交的表单中加入一个csrftoken的隐含值,这个值和服务器中保存的csrftoken的值相同

前后端的使用

后端

全局使用(禁用)

使用中间件操作

局部使用或禁用

from django.views.decorators.csrf import csrf_exempt(不使用CSRF验证), csrf_protect(使用CSRF校验)

前端

Form表单

{%csrf_token%}

Ajax 方式

<script src="//cdn.bootcss.com/jquery/3.1.1/jquery.min.js"></script>

<script src="//cdn.bootcss.com/jquery-cookie/1.4.1/jquery.cookie.js"></script>


function submit() {
    {#    拿数据#}
        var name = $("#name").val();
        var num = $("#num").val();
        var csrf_token = $.cookie("csrftoken");
        console.log(csrf_token);
        $.ajax({
            url:"/t08/cz",
            data:{
                "name": name,
                "num": num,
                "csrfmiddlewaretoken": csrf_token
            },
            method:"post",
            success: function (res) {
                console.log(res);
            }
        })
    }

面试回答:

1 什么是:跨站请求伪造Cross Site Request Forgery

2 举例子:什么是跨站请求攻击:用户a 访问可信站点1做业务处理,此时浏览器会保存该网站的cookie,当用户a 访问不可信站点2时,如果站点2有指向站点1的链接时候,那么攻击就用可能发生

3 Django怎么做的:使用了csrf的中间件,具体操作是这样的,当浏览器第一次和Django服务交互的时候,

	后台会生成一个唯一标识码, 放入到前端,同时后台也保存,那么之后再提交数据 服务端就会做csrf的校验,如果通过那么就正常处理,否则返回403

4 使用: 后端

全局使用(禁用)

使用中间件操作

局部使用或禁用

from django.views.decorators.csrf import csrf_exempt(不使用CSRF验证), csrf_protect(使用CSRF校验)

前端

Form表单

{%csrf_token%}

Ajax 方式

加码未来-杨老师
关注
专栏目录
DjangoCSRF原理与中间件
WOSHIBEIZHE的博客
10-30 326
CSRF 我们在开始学习Django时通常教学会让我们把setting中的CSRF注释掉,那么我们为什么要注释掉呢,我们首先来尝试下不注释掉会发生什么?不注释的话,正常get请求是没有问题的,当我们发送post请求时,就会报错403 表单提交 那么这是为什么呢,我们先来说说CSRF的原理,例如当用户想要登录,输入了账号密码,CSRF就会返回一串字符给用户,用户每一次请求都带着此串字符才能正常操作,我们在form表单中添加 {% csrf_token %}即可表单带着csrf提交 ajax提交 {% csr
Django 024】中间件Middleware(三):Django自带csrf中间件源码分析以及跳过csrf报错的四种方法
T型人小付的博客
04-17 1071
Django作为一个重量级框架,其已经事先为我们内置了很多安全模块,CSRF中间件就是其中之一。那么究竟什么是CSRF,其中间件工作原理是怎样的,我们又应该如何去使用CSRF呢。这一篇文章我们一起来深入学习一下。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录什么是CSRFCSRF的防范策略Django中的...
Django(六)Session、CSRF中间件
人生就是一场修行
01-10 3718
大纲二、session 1、session与cookie对比 2、session基本原理及流程 3、session服务器操作(获取值、设置值、清空值) 4、session通用配置(在配置文件中) 5、session引擎配置(db、cache、file、cookie加密) 三、CSRF 1、csrf原理-form提交及ajax提交 2、csrf全局与局部应用配置 四、中间件生命周期
djangocsrf中间件
Poor - Because you have no ambition
08-14 307
Djangocsrf中间件 CSRF:跨站请求伪造Cross Site Request Forgery CSRF的攻击流程 用户a 访问可信站点1做业务处理,此时浏览器会保存该网站的cookie,当用户a 访问不可信站点2时,如果站点2有指向站点1的链接时候,那么攻击就用可能发生 Eg: 1、包含站点1的链接,点击跳转 2、img 的src属性值是站点1的链接 3、Js加载,js...
Django中间件执行流程和CSRF验证
FanMLei的博客
11-28 2880
中间件执行流程 django中间件是一个轻量级的插件,可以改变django的输入和输出,中间件共有5种方法,分别为: process_request(self,request) process_view(self, request, callback, callback_args, callback_kwargs) process_template_response(self,reque...
csrf中间件
pyrans的博客
10-31 466
Djangocsrf中间件 csrf: 跨站请求伪造(Cross Site Request Forgery) 后端csrf的使用 1、全局使用或禁用 ​ 若需全局禁用csrf在settings.py中将MIDDLEWARE中的'django.middleware.csrf.CsrfViewMiddleware'注释即可若使用则不需做其他操作 2、局部使用或禁用 from django.views...
django-react-csrftoken:一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单
02-03
一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单。 安装 npm install --save django-react-csrftoken 用法 import React from 'react' ; import DjangoCSRFToken from 'django-react-csrftoken' class...
Djangocsrf中间件源码解析
sinat_30812239的博客
08-02 324
Djangocsrf中间件源码解析:'django.middleware.csrf.CsrfViewMiddleware', """ Cross Site Request Forgery Middleware. This module provides a middleware that implements protection against request forgeries from ...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
为了防止这种情况,DjangoCSRF中间件会在每个请求中生成一个唯一的CSRF令牌,并将其存储在用户的Cookie中。服务器端会检查每个POST请求中的CSRF令牌是否与Cookie中的匹配。如果不匹配,请求将被拒绝。 此外,对于...
Django 中间件,csrf
weixin_30348519的博客
06-19 98
Django 中间件,csrf 1、中间件简介 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。每个中间件组件都负责做一些特定的功能。 但是由于其影响的是全局,所以需要谨慎使用,使用不当会影响性能。 说的直白一点中间件是帮助我们在视图函数执行之前和执行之后都可以做一些额外的操作,它本质...
django中间件CSRF
cy_shichao的博客
01-08 223
转载: https://www.cnblogs.com/zhaof/p/6281482.html
django中间件|CSRF|缓存|信号|BootStrap
wolf的博客
11-09 319
文章目录Django中间件CSRF缓存信号1BootStrap(模板) - 响应式+模板 Django 中间件 django请求的生命周期 get/postmodelsurl/formurls.pyviews.py模板render 完整周期 get/postmodelsurl/form中间件urls.pyviews.py模板render CSRF 缓存 信号 1 BootStrap(模板)...
csrf中间件
weixin_30362233的博客
09-09 236
csrf中间件 源码简略分析: def process_request(self, request): # 从cookies中获取csrf_token csrf_token = self._get_token(request) if csrf_token is not None: # Use same to...
Django中间件csrf
weixin_30776273的博客
01-23 71
一、中间件   什么是中间件   中间件有什么用   自定义中间件   中间件应用场景 二、csrf   csrf token跨站请求伪造 一、中间件   什么是中间件 中间件顾名思义,是介于request与response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出。因为改变的是全局,所以需要谨慎实用,用不好会影响到性能 Django...
中间件csrf
最新发布
大多博客仅为学习笔记使用
12-11 218
目录-中间件--介绍--自定义中间件---方法---process_request(self, request)---process_response(self, request, response)---process_view(self, request, view_func, view_args, view_kwargs)---process_template_response(self, request, response)---process_exception(self, request, ex
Web框架之Django_09 重要组件(Django中间件csrf跨站请求伪造)
weixin_42625143的博客
07-22 185
阅读目录 二、csrf跨站请求伪造 摘要 Django中间件 csrf跨站请求伪造 一、Django中间件:   什么是中间件?    官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。每个中间件组件都负责做一些特定的功能。   但是由于其影响的是全局,所以需要谨慎使用,使用不当会影响性能。...
原来防御 CSRF 攻击这么简单? —— Hertz CSRF 中间件实战
Lance_Yuan24的博客
12-04 269
Hertz 是一个超大规模的企业级微服务 HTTP 框架,具有高易用性、易扩展、低时延等特点。Hertz 默认使用自研的高性能网络库 Netpoll,在一些特殊场景中,相较于 go net,Hertz 在 QPS、时延上均具有一定优势。
中间件
yangsen99的博客
06-26 1806
&#13; 介绍&#13; 什么是中间件?&#13; 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。每个中间件组件都负责做一些特定的功能。&#13; 但是由于其影响的是全局,所以需要谨慎使用,使用不当会影响性能。&#13; 说的直白一点中间件是帮助我们在视图函数执行之前和...
Laravel学习笔记(二)---路由,CSRF,HTTP中间件,RESTFul风格控制器注册路由,视图间共享数据
tiansan的博客
04-01 1123
3,定义路由必选参数设置 Route::get('/hello/{name}',function($name){     return "Hello {$name}!"; }); 定义路由可选参数设置 Route::get('/hello/{name?}',function($name="abc"){     return "Hello {$name}!"; }); 有时候我们
Django CSRF保护机制深度解析
- 除了使用DjangoCSRF中间件,还应该确保所有的敏感操作(如修改数据、删除资源)都通过POST、PUT或DELETE等需要CSRF令牌的请求完成。 - 对于API接口,特别是采用JSON或其他非HTML格式的接口,可能需要额外的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值