CSRFToken

最新推荐文章于 2025-04-05 12:42:03 发布
最新推荐文章于 2025-04-05 12:42:03 发布
阅读量2.2w 收藏 24
点赞数 5
分类专栏: Flask从入门到精通 文章标签: csrf flask python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46090675/article/details/120858052
版权

文章目录

一、什么是CSRFToken?

  • CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。
  • CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。
    包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…
  • 造成的问题:个人隐私泄露以及财产安全。

二、 CSRF攻击示意图

客户端访问服务器时没有同服务器做安全验证
在这里插入图片描述

三 、防止CSRF攻击

  1. 在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值
  2. 在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token在用户点击提交的时候,会带上这两个值向后台发起请求
  3. 后端接受到请求,以会以下几件事件:
    1.从 cookie中取出 csrf_token
    2.从 表单数据中取出来隐藏的 csrf_token 的值
    3.进行对比
  4. 如果比较之后两值一样,那么代表是正常的请求,如果没取到或者比较不一样,代表不是正常的请求,不执行下一步操作

提示:代码展示:见<< webA >>, << webB >>文件

3.1 手动解决

  • 在cookie增加一个csrf_token
  • 在表单中增加一个csrf_token
  • 校验: 取出cookie和表单中的csrf_token比较如果二者一致那么是正常请求
  • 具体过程,看keynote图解

3.2 CSRFProtect解决csrf

  • 使用流程:
    • 1.安装扩展包
      pip install flask-wtf
    • 2.导入包
      from flask_wtf.csrf import CSRFProtect
    • 3.创建CSRFProtect对象,保护app对象
    • 4.设置SECRET_KEY,便于csrf_token加密
    • 5.需要在表单中设置csrf_token隐藏字段即可

CSRFProtect一旦保护了app之后, 会对’POST’, ‘PUT’, ‘PATCH’, 'DELETE’做校验.

四、代码示例

4.1 后端代码

from flask import Flask, render_template, request
from flask_wtf.csrf import CSRFProtect

app = Flask(__name__)

# 设置密码
app.config["SECRET_KEY"] = "tianwanggaidihu"

# 保护app
CSRFProtect(app)


@app.route('/', methods=["GET", "POST"])
def hello_world():
    # 1.如果是GET请求,直接返回注册页面
    if request.method == "GET":
        return render_template("file16register.html")
    else:
        # 2.如果是POST请求,处理注册业务
        # 2.1获取参数
        username = request.form.get("username")
        password = request.form.get("password")
        repassword = request.form.get("repassword")

        # 2.2校验参数,为空校验
        if not all([username, password, repassword]):
            return "参数填写不全"

        # 2.3两次密码是否一致
        if password != repassword:
            return "两次密码输入不一致"

        # 2.4返回注册成功
        return "恭喜你, 注册成功"

if __name__ == '__main__':
    app.run(debug=True)

4.2 前端代码

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

<form action="" method="post">
    {# 只要使用了CSRFProtect保护app,那么可以直接使用csrf_token()方法获取csrf_token值 #}
    <input type="hidden" name="csrf_token" value="{{ csrf_token() }}">
    用户名:<input type="text" name="username"><br>
    密码:<input type="password" name="password"><br>
    确认密码:<input type="password" name="repassword"><br>
    <input type="submit" value="注册">
</form>


</body>
</html>

在这里插入图片描述

csrf token作用
neu_xiaolu的博客
06-05 1万+
作用: 是防御CSRF攻击。 如何生成? 在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。 应用: 表单中:添加隐藏字段csrf_token,来启用csrftoken验证 <form action="/add-...
解决Django提交表单报错:CSRF token missing or incorrect的问题
12-20
当你遇到"CSRF token missing or incorrect"的错误时,这通常意味着在处理表单提交时,Django无法找到或验证有效的CSRF令牌。 首先,我们来理解Django中的CSRF机制。Django会在用户首次访问网站时生成一个唯一的...
CSRF攻击及防止
zhangmoyan9527的博客
08-14 1199
  CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。   CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证   防止 CSRF 攻...
为什么Cookie无法防止CSRF攻击而token可以
最新发布
qq_46130027的博客
04-05 977
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种利用用户当前已登录身份对网站进行非法操作的攻击方式。攻击者诱导受害者在登录状态下访问一个恶意链接,从而在用户毫不知情的情况下,以用户的身份向目标网站发起请求,执行如转账、修改资料、发帖等敏感操作。
CSRF 攻击的应对之道
sarck3的专栏
02-12 1144
简介: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSRF 的安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性,然后就目前常用的几种防御方法进行分析
csrf-token
weixin_30807677的博客
06-05 273
全文引用ta的博客:https://blog.csdn.net/bigdaddy_maybe/article/details/82747274 在学习django的时候,在template中写form时,出现错误。要加{% csrf_token %}才可以,之前一直也没研究,只是知道要加个这个东西,具体是什么也不明白。 目的: csrf_token 是为了防止csrf(跨站请求伪造),什么是csr...
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
csrftoken
rikka
10-28 1266
csrftoken CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息。 解决csrf攻击的最...
Invalid CSRF Token(解决方案).md
08-31
Invalid CSRF Token(解决方案).md
在django中使用post方法时,需要增加csrftoken的例子
09-17
在Django框架中,为了确保Web应用的安全性,防止CSRF(Cross-site request forgery)攻击,开发者需要在处理POST请求时添加一个名为`csrftoken`的令牌。CSRF攻击是一种恶意用户在用户浏览器中利用已登录用户的权限...
CSRF Token
weixin_33970449的博客
05-23 297
本文参考自:https://blog.csdn.net/lion19930924/article/details/50955000 目的是防御CSRF攻击。 Token就是令牌,最大的特点就是随机性,不可预测。 CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 c...
Web安全—CSRF(Token)
weixin_44431280的博客
02-14 3986
CSRFToken Token:令牌,和Session,Cookie一样,都是身份标识,Token通常存在于URL和Cookie中 Token作用: 1,防止表单重复提交 服务端收到客户端发送的Token后,如果和Session中的值相同,此时客户端中session中的Token会更新 2,防止CSRF(跨站请求攻击) 举例: 构造的CSRF,因为Token的原因,所以攻击失败 Token产生过程: 当客户端请求服务端页面时,服务端会生成一个随机数Token存放在Session中,同时也会将sessio
CSRF的攻击与防御
Java/Android/IOS/前端/云计算
10-22 3009
发布时间:2012年08月28日 分享 推荐打印收藏 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
CSRF TOKEN
hck341204的专栏
02-14 261
[code="java"]package com.uncle5.pubrub.web.common; import java.util.UUID; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpSession; public final class CsrfToken...
django csrftoken
weixin_30662849的博客
04-04 324
CSRF(跨站请求伪造) 背景知识:浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。浏览器的同源策略并不能阻止CSRF攻击,因为浏览器不会停止js发送请求到服务端,只是在必要的时候拦截了响应的内容。或者说浏览器收到响应之前它不知道该不该拒绝。 攻击过程: 假设abc用...
关于CSRFcsrftoken
06-27 295
CSRF 虽然利用了session验证机制的漏洞,一般使用加密token的方式防御,但是其本身和session以及JWT token没有直接联系。 描述 CSRF利用用户正常登录产生的cookie,利用钓鱼网站传给用户发送一张有内容的表单,并携带用户的正常cookies访问网站,达到将伪造的表单通过用户之手传到网站上的目的。为了避免用户提交其他网站生成的表单,网站在用户登录时签发给用户一...
报错:{‘csrf_token‘: [‘The CSRF token is missing.‘]}
m0_53291740的博客
01-22 517
flask实现一个简单的注册界面报错。来包含 CSRF 令牌。
4-3csrf token详解以及常见的防范措施
山兔的博客
07-10 6138
CSRF(post)实验演示和解析  Anti CSRF token  常见CSRF防范措施CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!就是这个token值Ant上CSRFtoken)项目的token生成代码:当我们每次请求修改页面的时候,后台会先去调用一个函数,在实际的系统里面,会写的更复杂一点,当我们去请求页面的时候,后台会去查一下session里面,有没有tok
跨站攻击和利用CSRF token来防御
FinixLei的专栏 (https://github.com/FinixLei)
06-14 1914
跨站攻击: 用户首先访问网银站点,登录成功后,浏览器拿到token 用户并没有登出网银站点,此时又登录一个钓鱼站点 钓鱼站点有一个诱惑链接,用户点了此链接,此链接的内容是一个URL,而此URL的实质就是转账给钓鱼者,用的是网银的标准转账URL. 用户点此链接后,浏览器封装HTTP请求,当看见是访问那个尚未退出的网银站点,就自动加上了cookie与auth token 于是,authentica...
CSRF Token PHP
12-27
### PHP中实现和使用CSRF Token 为了有效防御跨站请求伪造(CSRF),在PHP应用程序中引入CSRF Tokens是非常必要的。这些Tokens是一次性的随机字符串,在表单提交或其他HTTP POST操作时附加到请求中,从而验证该请求确实源自合法页面而非第三方恶意站点。 #### 创建唯一的Token并存储于Session 当用户首次访问涉及敏感数据变更的网页时,服务器端应生成一个独一无二的Token,并将其保存至当前用户的session变量中: ```php <?php // 启动会话管理 if (!isset($_SESSION)) { session_start(); } // 如果尚未创建,则初始化新的CSRF token if(!isset($_SESSION['csrf_token'])) { $_SESSION['csrf_token'] = bin2hex(random_bytes(32)); } ?> ``` 此代码片段确保每次新打开页面都会有一个独特的CSRF令牌被分配给特定用户会话[^1]。 #### 将Token嵌入HTML表单 为了让客户端能够随同POST请求一起发送这个Token,需要将它加入到每一个可能受到CSRF影响的数据提交界面中去: ```html <form action="process.php" method="post"> <!-- 隐藏域用于携带CSRF token --> <input type="hidden" name="csrf_token" value="<?php echo htmlspecialchars($_SESSION['csrf_token']); ?>"> <!-- 正常输入框和其他控件 --> </form> ``` 上述方法通过隐藏字段的方式把之前产生的Token传递给了前端浏览器,使得后续任何基于表单的动作都能带上这一重要凭证[^2]。 #### 检查收到的Token有效性 最后一步是在处理POST请求的服务端脚本里校验传回来的Token是否匹配预期值。只有当二者一致时才允许继续执行业务逻辑;反之则拒绝服务或提示错误信息: ```php <?php // 继续保持之前的会话环境 session_start(); // 获取来自表单提交中的CSRF token $submittedToken = isset($_POST['csrf_token']) ? $_POST['csrf_token'] : ''; // 对比已知的安全token与接收到的内容 if ($submittedToken !== $_SESSION['csrf_token']) { die('Invalid or missing CSRF token.'); } else { // 成功验证后的正常流程... } ?> ``` 这种机制可以有效地阻止未经许可的外部实体冒充真实用户发起非法指令,因为它们无法得知有效的CSRF Token是什么样的[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值