Django学习记录之——csrf跨站请求伪造校验

最新推荐文章于 2024-04-28 07:45:00 发布
最新推荐文章于 2024-04-28 07:45:00 发布
阅读量393 收藏 4
点赞数 1
分类专栏: django学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51072735/article/details/117536104
版权

文章目录

csrf跨站请求伪造

跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。(来源:百度百科)

按下图的例子来说:
tom在浏览器中登陆了银行网站没有退出登陆,此时浏览器中就含有tom在银行认真的cookie信息,然而此时tom不小心浏览了一个钓鱼网站,这个掉钓鱼网站会伪造一个转账的请求,然后发送请求到银行的服务器,此时这个伪造的转账请求带着浏览器中携带的tom登陆银行的认证信息,银行服务器在接收到这个请求后,检查到tom的认证信息,会认定是tom的合法转账操作,最终执行了该操作,tom的账户上金额就会减少,从而钓鱼网站达到了跨站请求伪造。
(图片来源:百度百科)
(图片来源:百度百科)

csrf跨站请求伪造校验

那么该如何规避跨站请求伪造攻击, csrf跨站请求伪造校验就出现了。
什么是 csrf跨站请求伪造校验?
网站在给用户返回一个具有提交数据功能页面的时候回给这个页面添加一个唯一标识,当这个页面向后端发送post请求后,后端会先校验唯一标识,如果标识不对直接拒绝(403 forbidden),如果校验成功就继续执行。

django完成csrf校验

django的csrf跨站请求伪造校验由csrf中间件完成,我们只需要直接配置即可,前期我们使用form表单提交post请求是注释掉该中间件的。

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware', # csrf中间件
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

form表单校验

首先创建一个login页面

def login(request):
    return render(request, 'login.html')

<form action="" method="post">
    <p>username:<input type="text"></p>
    <p>password:<input type="text"></p>
    <p><input type="submit" class="btn btn-primary"></p>
</form>

此时提交form表单,会返回403 forbidden,因为我们没有进行csrf验证
在这里插入图片描述
在form表单中进行csrf验证只需在form表单中加入{% csrf_token %}即可

<form action="" method="post">
    {% csrf_token %}
    <p>username:<input type="text"></p>
    <p>password:<input type="text"></p>
    <p><input type="submit" class="btn btn-primary"></p>
</form>

此时就能向后端发送post请求,并且页面中多出了csrfmiddlewaretoken,这就是后端给浏览器的唯一标识,每次访问都会改变。
在这里插入图片描述

ajax进行校验

首先在页面中添加一个ajax请求

<p>
    <button class="btn btn-danger" id="btn">点这里发送ajax请求</button>
</p>
<script>
    $('#btn').click(function () {
        $.ajax({
            url: '',
            type: 'post',
            data: {'user':'wcy', 'pswd':'123'},
            success: function () {
                alert('发送成功')
            }
        })
    })
</script>

此时访问依然是403forbidden
在这里插入图片描述
ajax有三种方法实现验证:
第一种:利用标签获取页面上的csrfmiddlewaretoken,添加到data中

<script>
    $('#btn').click(function () {
        $.ajax({
            url: '',
            type: 'post',
            data: {'user':'wcy', 'pswd':'123', 'csrfmiddlewaretoken': $('[name=csrfmiddlewaretoken]').val()},
            success: function () {
                alert('发送成功')
            }
        })
    })
</script>

第二种:使用模板语法提供的快捷方式{{ csrf_token }}

<script>
    $('#btn').click(function () {
        $.ajax({
            url: '',
            type: 'post',
            //第一种
            //data: {'user':'wcy', 'pswd':'123', 'csrfmiddlewaretoken': $('[name=csrfmiddlewaretoken]').val()},
            //第二种
            data: {'user':'wcy', 'pswd':'123', 'csrfmiddlewaretoken':'{{ csrf_token }}' },
            success: function () {
                alert('发送成功')
            }
        })
    })
</script>

第三种:使用js脚本

function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = cookies[i].trim();
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');
function csrfSafeMethod(method) {
    // these HTTP methods do not require CSRF protection
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
    beforeSend: function(xhr, settings) {
        if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken);
        }
    }
});

将上述代码放在静态文件夹static中, 并且配置静态文件路径,导入页面中。

STATIC_URL = '/static/'
STATICFILES_DIRS = [
    os.path.join(BASE_DIR, 'static')
]

{% load static %}
    <script src="{% static 'js/mycsrf.js' %}"></script>    
<script>
    $('#btn').click(function () {
        $.ajax({
            url: '',
            type: 'post',
            //第一种
            //data: {'user':'wcy', 'pswd':'123', 'csrfmiddlewaretoken': $('[name=csrfmiddlewaretoken]').val()},
            //第二种
            //data: {'user':'wcy', 'pswd':'123', 'csrfmiddlewaretoken':'{% csrf_token %}' },
            //第三种 只需要导入js文件即可
            data: {'user':'wcy', 'pswd':'123'},
            success: function () {
                alert('发送成功')
            }
        })
    })
</script>

以上三种方式都能成功完成ajax请求的csrf校验,第三种方式最常用

csrf装饰器

csrf相关的装饰器主要使用以下两个

from django.views.decorators.csrf import csrf_exempt, csrf_protect
"""
csrf_exempt        不需要校验
csrf_protect       需要校验
"""

使用情景:

  • 网站整体不需要csrf校验,但一部分需要校验
  • 网站整体都需要校验,而一部分不需要

依次来验证上面两点

FBV

网站整体不需要csrf校验,但一部分需要校验,我们在配置文件中注释掉csrf中间件,在login函数上使用csrf_protect装饰器, 此时login需要验证

@csrf_protect
def login(request):
    return render(request, 'login.html')

此时如果注释掉form表单中的{% csrf_token %}

<form action="" method="post">
{#    {% csrf_token %}#}
    <p>username:<input type="text"></p>
    <p>password:<input type="text"></p>
    <p><input type="submit" class="btn btn-primary"></p>
</form>

将会返回403forbidden错误,添加校验才会继续执行

如果网站整体都需要校验,而一部分不需要,我们打开中间件,在login出使用csrf_exempt装饰器

@csrf_exempt
def login(request):
    return render(request, 'login.html')

<form action="" method="post">
{#    {% csrf_token %}#}
    <p>username:<input type="text"></p>
    <p>password:<input type="text"></p>
    <p><input type="submit" class="btn btn-primary"></p>
</form>

此时依然能够提交post请求,说明此时login不需要验证

CBV

接下来看CBV添加csrf装饰器,CBV添加装饰器的方式有三种,详情参见CVB添加装饰器
编写CBV

from django.views import View


class MyView(View):
    def get(self, request):
        return HttpResponse('get方法')

    def post(self, request):
        return HttpResponse('post方法')

先来看添加csrf_protect
看第一种添加方式
注释掉中间件,在post方法上添加保护,在注释掉form中的

from django.views import View
from django.utils.decorators import method_decorator


class MyView(View):
    def get(self, request):
        return HttpResponse('get方法')

    @method_decorator(csrf_protect)
    def post(self, request):
        return HttpResponse('post方法')

<form action="/cbv/" method="post">
{#    {% csrf_token %}#}
    <p>username:<input type="text"></p>
    <p>password:<input type="text"></p>
    <p><input type="submit" class="btn btn-primary"></p>
</form>

访问login向cbv提交post请求返回403forbidden,说明此时第一种方式生效

第二种方式

from django.views import View
from django.utils.decorators import method_decorator


@method_decorator(csrf_protect, name='post')
class MyView(View):
    def get(self, request):
        return HttpResponse('get方法')

    # @method_decorator(csrf_protect)
    def post(self, request):
        return HttpResponse('post方法')

访问依然是403页面,说明第二种生效

第三种方式

from django.views import View
from django.utils.decorators import method_decorator


# @method_decorator(csrf_protect, name='post')
class MyView(View):

    @method_decorator(csrf_protect)
    def dispatch(self, request, *args, **kwargs):
        return super(MyView, self).dispatch(request, *args, **kwargs)
    
    def get(self, request):
        return HttpResponse('get方法')

    # @method_decorator(csrf_protect)
    def post(self, request):
        return HttpResponse('post方法')

访问后还是返回403,说明第三种方法也可以
终上所述,csrf_protect符合CBV添加装饰器的三种方法

然后我们来验证添加csrf_protect
打开csrf中间件,注释掉form表单中的{% csrf_token %}
第一种:

class MyView(View):

    def dispatch(self, request, *args, **kwargs):
        super(MyView, self).dispatch(request, *args, **kwargs)

    def get(self, request):
        return HttpResponse('get方法')

    @method_decorator(csrf_exempt)
    def post(self, request):
        return HttpResponse('post方法')

此时访问依然返回403forbidden,说明此时还是需要csrf验证,第一种方法对csrf_exempt不起作用

第二种:

@method_decorator(csrf_exempt, name='post')
class MyView(View):

    def dispatch(self, request, *args, **kwargs):
        return super(MyView, self).dispatch(request, *args, **kwargs)

    def get(self, request):
        return HttpResponse('get方法')

    def post(self, request):
        return HttpResponse('post方法')

此时访问依然返回403forbidden,说明此时还是需要csrf验证,第二种方法对csrf_exempt不起作用

第三种:

class MyView(View):

    @method_decorator(csrf_exempt)
    def dispatch(self, request, *args, **kwargs):
        return super(MyView, self).dispatch(request, *args, **kwargs)

    def get(self, request):
        return HttpResponse('get方法')

    def post(self, request):
        return HttpResponse('post方法')

此时访问能够成功提交post请求,说明此时不需要csrf验证,第三种方法对csrf_exempt起作用
综上所述,只有第三种方式能添加csrf_ecempt装饰器,第三种方式也可以用第二种方式来表达

@method_decorator(csrf_exempt, name='dispatch')
class MyView(View):

    def dispatch(self, request, *args, **kwargs):
        return super(MyView, self).dispatch(request, *args, **kwargs)

    def get(self, request):
        return HttpResponse('get方法')

    def post(self, request):
        return HttpResponse('post方法')

两种方法等价

即将秃头的小老弟
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
csrf-login-token:来自登录令牌中间件的CSRF令牌
04-15
使用登录令牌的csurf Node.js 保护中间件。 要求先对进行初始化。 该模块基于并使用几乎相同的API,但是它使用现有的登录令牌而不是创建新的令牌和cookie。 这样做的安全影响进行了讨论。 安装 $ npm install csurf-login-token --save 原料药 const csurf = require ( 'csurf-login-token' ) ; csurf(cookieName [,options]) cookieName 存储登录令牌的cookie的名称。 有关如何安全生成此内容的许多在线教程,请这样做。 选项 csurf函数采用一个可选的options对象,该对象可能包含以下任何键: ignoreMethods 禁用CSRF令牌检查的方法的数组。 默认为['GET', 'HEAD', 'OPTIONS'] 。 价值 提供中间件将调用的
安全认证中的CSRF
梁老师教你编程序
10-26 2071
正常的访问时,客户端浏览器能够正确得到并传回这个伪随机数,而通过CSRF传来的欺骗性攻击中,攻击者无从事先得知这个伪随机数的值,服务端就会因为校验token的值为空或者错误,拒绝这个可疑请求。而,跨域转发,是没有这个过程的。这个图说明,在浏览器向服务端请求页面时,服务端将自己生成的token,返回给了浏览器,然后在发送post的时候,浏览器就带有了token。如果是,第三方网站跳转过去,就是直接操作的界面,就算是有了cookie,认证通过了,但是因为没有这个请求字段,所以操作是无法成功的。
Django中的CSRF保护机制:原理及如何使用?
最新发布
04-28 122
DjangoCSRF保护机制的原理是,当用户访问一个包含表单的页面时,Django会生成一个随机的CSRF令牌并将其存储在用户会话中。当用户提交表单时,Django会验证表单中的令牌是否与用户会话中存储的令牌匹配。CSRF攻击是通过在用户浏览器上发送一个伪造请求来实现的,请求中包含了用户在其他网站上的身份验证信息。这样,在提交表单时,Django会验证请求中的CSRF令牌是否与用户会话中的令牌匹配。另外,如果使用 AJAX 来提交表单,可以将令牌作为请求的一个参数来传递,或者将其添加到请求头中。
DjangoCSRF作用
高压锅博客
05-20 423
1. CSRF是什么 跨站请求伪造CSRF)与跨站请求脚本正好相反。跨站请求脚本的问题在于,客户端信任服务器端发送的数据。跨站请求伪造的问题在于,服务器信任来自客户端的数据。 2. Form提交(CSRF) 那么在DjangoCSRF验证大体是一个什么样的原理呢?下面通过一个小例子来简单说明一下: 我们把DjangoCSRF中间件开启(在settings.py中) 'django.middleware.csrf.CsrfViewMiddleware' 3. 前端写法 而csrf验证其实是对http请
Django 解决CSRF 跨域问题总结
zhouzhiwengang的专栏
08-10 480
问题描述:使用postman 测试后台服务接口提示如下截图错误信息 解决办法: 方式一:注释Django 中间件之django.middleware.csrf.CsrfViewMiddleware Django 项目中间件配置文件位置:Django项目相对路径/settings.py 方式二:通过导入csrf_exempt 装饰器 第一步:引入csrf_exempt 装饰器, 添加如下代码片段 from django.views.decorators.csrf import c...
漏洞篇(CSRF跨站请求伪造
m0_58001548的博客
04-17 1556
CSRF(Cross-site request forgery,跨站请求伪造)也被称为 One Click Attack(单键攻击)或者 Session Riding,通常缩写为 CSRF 或者 XSRF。forgery [ˈfɔːdʒəri] 伪造;Riding [ˈraɪdɪŋ] 驾驭马匹;骑马。
Django CSRF跨站请求伪造防护过程解析
09-18
CSRF跨站请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网站发起对受害者的合法网站的请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
Django中如何防范CSRF跨站请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF跨站请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习
Django跨域请求CSRF的方法示例
09-19
主要介绍了Django跨域请求CSRF的方法示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Python攻城师的成长————Django框架(csrf相关装饰器、基于中间件思想编写项目、auth认证模块)
fonnt的博客
05-25 372
今日学习目标 逐步掌握csrf相关装饰器、基于中间件思想编写项目、auth认证模块知识点 文章目录今日学习目标学习内容一、 csrf相关装饰器二、基于中间件思想编写项目三、auth认证模块Auth模块是什么auth模块方法大全 学习内容 csrf相关装饰器 基于中间件思想编写项目 auth认证模块 一、 csrf相关装饰器 在平时场景中,并不一定所有的接口验证都需要进行csrf验证,我们采用的是在settings.py中间件配置进行全局配置,如果遇到不需要验证的,我们可以采用局部
CSRF漏洞的判断和防御
记录学习,一起进步
12-08 255
CSRF漏洞的判断和防御学习记录
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
2201_75735270的博客
01-15 928
面试的时候的著名问题:“谈一谈你对 CSRF 与 SSRF 区别的看法”这个问题,如果我们用非常通俗的语言讲的话,CSRF 更像是钓鱼的举动,是用户攻击用户的;而对于 SSRF 来说,是由服务器发出请求,用户。
csrf进行安全校验
化名三爷
07-18 733
请移步我的这篇博客: https://blog.csdn.net/zlxls/article/details/107432468 该文章主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善
【安全】(二)Djangocsrf防御
财迷的博客
02-28 1256
【安全】(二)Djangocsrf防御
详解入门安全测试最难懂的概念 —— CSRF
liwenxiang629的博客
12-19 703
对于刚刚入门安全的同学来说,csrf是最难理解的概念之一,本文会用最简单的方式对csrf进行讲解,包括csrf的定义,csrf典型的攻击流程以及如何对其进行防范,希望本文能够帮到大家!
Django CSRF
光明小学王小雨的博客
12-16 1789
一、CSRF攻击攻击原理及过程 CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络的攻击方式 1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B...
DjangoCSRF原理及应用详解
热门推荐
AlexGeek
09-22 1万+
 Web开发中十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
DjangoCSRF 跨站请求伪造
张聪的博客
09-21 91
DjangoCSRF 跨站请求伪造 一、简介 1、点我了解什么是跨站请求伪造 2、django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能又分为全局和局部。 全局 通过修改django中settings文件中中间件列表...
Django网络安全】如何正确防护CSRF跨站请求伪造
黎明总是如期而至
04-09 706
CSRF(Cross-site request forgery),中文名跨站请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器中的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
Django中的CSRF(跨站请求伪造)
05-21
Django中的CSRF是一种安全机制,可以防止跨站请求伪造攻击。在Django中,默认情况下,所有的POST、PUT、DELETE请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。 具体来说,Django在生成表单时会自动在表单中添加一个隐藏的input元素来存储CSRF令牌,例如: ```html <form method="post"> {% csrf_token %} <!-- 其他表单元素 --> </form> ``` 当用户提交表单时,Django会验证请求中的CSRF令牌是否与服务器端生成的令牌匹配。如果不匹配,则Django会抛出一个`CSRFTokenError`异常,阻止请求继续进行。 除了在表单中添加CSRF令牌外,还可以使用Django提供的`csrf_exempt`装饰器来排除某个视图函数或类的CSRF验证,例如: ```python from django.views.decorators.csrf import csrf_exempt from django.http import HttpResponse @csrf_exempt def my_view(request): # 不进行CSRF验证的代码 return HttpResponse('OK') ``` 需要注意的是,如果你关闭了CSRF验证,或者在某些情况下不使用CSRF令牌,那么你需要确保其他安全措施的存在,以保证你的应用程序不会受到跨站请求伪造攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值