018 django csrf攻击

最新推荐文章于 2024-06-14 12:57:09 发布
最新推荐文章于 2024-06-14 12:57:09 发布
阅读量169 收藏
点赞数
分类专栏: Django 文章标签: django csrf python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52475295/article/details/125529755
版权

csrf 攻击

文章目录

简介

CSRF - 跨站伪造请求攻击

某些恶意网站上包含链接、表单按钮或者JavaScript,它们会利用登录过的用户在浏览器中的认证信息试图在你的网站.上完成某些操作这就是跨站请求伪造(CSRF,即Cross-Site Request Forgey)。

比如你后台如果登陆了支付宝或者网银,然后 CSRF 攻击会利用浏览器内的 COOKIES 直接在你不知情的情况下转账

Django 防范 csrf 攻击

Django 使用在提交表单的信息里添加暗号来实现过滤除了本站之外的请求,以此来防范 csrf 攻击

  1. 确保settings.py 的 MIDDLEWARE 中开启了django.middleware.csrf.CsrfViewMiddleware

image-20220628171913548

  1. 在模板的 form标签下添加暗号标签
    • {% csrf_token %}

image-20220628172006597

如何局部关闭我们的 csrf 防范

有一些情况我们希望我们可以临时关闭我们的 csrf 检测,我们 Django 同样可以做到

from django.views.decorators.csrf import csrf_exempt

@csrf_exempt
def my_view(request):
    return HttpResponse("hello world")
Be-make
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django的安全攻击
weixin_30472035的博客
08-19 127
目录 Django的安全攻击 XSS XSS(跨站脚本攻击) 危害 原理 防护 csrf(Cross Site Request Forgery) csrf(跨站域请求伪造) ...
Django CSRF攻击
ball4022的博客
08-19 159
CSRF攻击攻击原理及过程如下: 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 4. 网站B接收到用户请求后,返回一些攻击性代码,并发出...
django 常见web攻击及防范
Hayley-L
07-02 1296
from 慕课实战-强力Django+杀手级Xadmin打造在线教育平台 sql注入攻击与防范 sql注入的危害 非法读取、篡改、删除数据库中的数据 盗取用户的各类敏感信息,获取利益 通过修改数据库来修改网页上的内容 注入木马等 在参数中加入sql语句,没有对输入做安全性验证。 如在用户登录界面输入用户名:’ OR 1=1# 密码:任意输入 发现可以获取到我们数据库里面的用...
Django之sql注入,XSS攻击CSRF攻击原理及防护
time
06-21 5735
sql注入的危害非法操作用户数据库的数据来获取利益,通过修改数据库来修改网页的内容,注入木马等未完待续
Web攻防之XSS,CSRF,SQL注入
weixin_30536513的博客
03-11 397
摘要:对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。本文结合WEB TOP10漏洞中常见的SQL注入,跨站脚本攻击(XSS),跨站请求伪造(CSRF攻击的产生原理,介绍相应的防范方法。 关键字:SQL注入,XSS,CSRF 1.SQL注入   所谓SQL注入式攻击,就是攻击者把SQL命令插入到W...
django实战——常见web攻击与防范
爱吃串串的瘦子的博客
02-18 573
1.sql注入攻击与防范 2.xss攻击 3.csrf攻击   1.sql注入攻击与防范 sql注入的危害 非法读取、篡改、删除数据库中的数据 盗取用户的各类敏感信息,获取利益 通过修改数据库来修改网页上的内容 注入木马等   #不安全的登陆模式 class LoginUnsafeView(View): def get(self, request): ...
最浅显易懂的Django系列教程(43)-点击劫持攻击
jspython的博客
05-14 360
clickjacking攻击: clickjacking攻击又称作点击劫持攻击。是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。 clickjacking攻击场景: 场景一: 如用户收到一封包含一段视频的电子邮件,但其中的“播放”按钮并不会真正播放视频,而是链入一购物网站。这样当用户试图“播放视频”时,实际是被诱骗而进入了一个购物网站。 场景二: 用户进入到一个网页中,里面包含了一个非常有诱惑力的按钮A,但是这个按钮上面浮了一个透明的iframe标签,这个iframe标签
Django-常见的web攻击,及如何防止
Jamin2018的博客
01-15 2259
一.sql注入攻击及防范 1.危害 sql注入攻击的危害:非法读取、篡改、删除数据库中的数据盗取用户的各种敏感信息,获取利益通过修改数据库来修改网页上的内容注入木马等等 2.防范 django的orm查询和form表单验证都过滤了sql注入攻击 3.漏洞原理 若用原生的查询方式,可以通过输入单引号 1=1(如:‘OR 1=1#)等特殊字符使原生的SQL语句代码被改变
django-vue-admin 本地部署
csmnjk的专栏
06-13 473
下载master分支zip代码包,解压后删掉web\src\views\system\demo\demo.vue,并注释以下部分代码,否则yarn bulid的时候会报关于curd的错误。主分支:master(稳定版本) 开发分支:develop。前后端web与backend各自单独一个窗口打开运行。
Python Django 5 Web应用开发实战
zgw555555的专栏
06-11 720
Django 是一个高级 Python Web 框架,它鼓励快速开发和简洁、务实的设计。下面是一个关于如何使用 Django 开发一个包含五个基本页面的 Web 应用的实战指南。请注意,这里仅提供一个概述,实际开发中会有更多细节和步骤。
51.Python-web框架-Django开始第一个应用的增删改查
智盟科技智能制造团队的博客
06-12 1092
这里可以创建任意多个模型。name = models.CharField(verbose_name='部门名称', max_length=200,)description = models.TextField(verbose_name='部门描述', blank=True, null=True)parent = models.IntegerField(verbose_name='父部门', blank=True, null=True, default=0)
50.Python-web框架-Django中引入静态的bootstrap样式
智盟科技智能制造团队的博客
06-12 806
Bootstrap 是一个非常流行的前端开发框架,用于快速构建响应式和移动优先的网站。
【云岚到家】-day04-1-数据同步方案-Canal-MQ
最新发布
bblb的博客
06-14 975
【云岚到家】-day04-1-数据同步方案-Canal-MQ
Django ListView 列表视图类
人生苦短,何妨一试
06-10 893
这个命令会检查你的模型定义,并创建一个迁移文件,这个文件包含了将数据库从当前状态更新到新的模型定义所需的SQL命令。这个命令会执行迁移文件中的SQL命令,更新数据库的结构。打开命令行,进入你的Django项目的根目录。说明数据库表语句创建好了。django会自动创建好这些表,
52.Python-web框架-Django - 多语言编译-fuzzy错误
智盟科技智能制造团队的博客
06-13 434
Django的国际化和本地化过程中,.po文件中出现fuzzy标记,表示该翻译条目可能是自动提取的,或者是机器翻译的结果,尚未经过人工校验确认其准确性。在Django的国际化和本地化过程中,当你发现某些字段仅显示msgid,而不显示msgstr时,可能是编译多语言文件发生了问题。总之,遇到fuzzy标记时,重要的是进行细致的人工复核,以确保翻译质量,然后再将修改应用于生产环境。带有fuzzy标记的翻译不会被包含进去,因此应用运行时仍会显示英文或其他源语言的字符串。
Django UpdateView视图
人生苦短,何妨一试
06-11 441
UpdateView是Django中的一个通用视图,用于处理对象的更新操作。它允许用户更新一个已经存在的对象。UpdateView通常与一个模型表单一起使用,这样用户就可以看到当前对象的值,并可以修改它们。
Django之文件上传(二)
Calor13的博客
06-12 238
重命名文件也可以避免文件名冲突的问题可以根据自己情况,针对性增加描述信息。
Django 解决No URL to redirect to.
人生苦短,何妨一试
06-11 376
这个错误表明Django在尝试重定向到新创建的对象的详情页面时找不到要去的URL。
49.Python-web框架-Django解决多语言redirect时把post改为get的问题
智盟科技智能制造团队的博客
06-12 731
昨天在练习一个Django功能时,把form的method设置为POST,但是实际提交时,一直是GET方法。最后发现这是与多语言相关,django前面的多语言设置,会自动加上语言的路径,从而有了重定向这个操作,把POST变成了GET。
djangocsrf的实现机制
06-10
Django中的CSRF(Cross-Site Request Forgery)机制可以防止跨站点请求伪造攻击DjangoCSRF机制的实现基于以下两个元素: 1. CSRF令牌:每个表单都会包含一个隐藏的CSRF令牌,这个令牌是服务器随机生成的,并且...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值