Django 中 csrf 的实现机制?

已于 2022-03-17 10:07:56 修改
阅读量476 收藏 1
点赞数 2
文章标签: django csrf
于 2022-03-02 19:31:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56477185/article/details/123238137
版权

Django预防CSRF攻击的方法是在用户提交的表单中加入一个csrftoken的隐含值,这个值和服务器中保存的csrftoken的值相同,这样做的原理如下:

1、在用户访问django的可信站点时,django反馈给用户的表单中有一个隐含字段csrftoken,这个值是在服务器端随机生成的,每一次提交表单都会生成不同的值

2、当用户提交django的表单时,服务器校验这个表单的csrftoken是否和自己保存的一致,来判断用户的合法性

3、当用户被csrf攻击从其他站点发送精心编制的攻击请求时,由于其他站点不可能知道隐藏的csrftoken字段的信息这样在服务器端就会校验失败,攻击被成功防御

 

 

代码编号007
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
djangocsrf实现机制
qq_41373975的博客
03-09 1393
1)启用间件 2)post请求 3)验证码 4)表单添加{% csrf_token%}标签 Django 原生支持一个简单易用的跨站请求伪造的防护。当提交一个启用CSRF 防护的POST 表单时,你必须使用上面例子csrf_token 模板标签。 #第一步:django第一次响应来自某个客户端的请求时,后端随机产生一个token值,把这个token保存在SESSION状态;同时,后端把这...
DjangoCSRF 保护机制
weixin_34348174的博客
12-02 204
django 有多久,我跟 csrf 这个概念打交道就有久了。 每次初始化一个项目时都能看到 django.middleware.csrf.CsrfViewMiddleware 这个间件 每次在模板里写 form 时都知道要加一个 {% csrf_token %} tag 每次发 ajax POST 请求,都需要加一个 X_CSRFTOKEN 的 header 但是一直我都是...
Djangocsrf实现机制
mache123456的博客
06-23 271
Djangocsrf实现机制
DjangoCSRF 机制
十年饮冰,难凉热血
11-18 308
在理解DjangoCSRF机制前,可以先补一补基础知识 官网对于CSRF的说明 pythenweb 开发csrf机制 CSRF全称 Cross-site request forgery (CSRF) 很简单的一个知识点,就是一个跨站请求伪造保护,看一下官网对于CSRF的说明和csrf机制两篇文章对CSRF机制有个初步理解。 实战 CSRF机制的载体Django自带的间件 知识点部...
简述DjangoCSRF实现原理
summerriver1的博客
07-04 291
简述DjangoCSRF实现原理
详解DjangoCSRF认证实现
09-20
Django框架内置了CSRF防护机制,通过使用CSRF间件(CsrfViewMiddleware)来确保POST、PUT、DELETE等修改数据的请求是安全的。DjangoCSRF保护主要分为以下几个步骤: 1. **CSRF间件**:在Django的设置文件,...
django 取消csrf限制的实例
09-17
Django框架CSRF(Cross-site request forgery,跨站请求伪造)是一种重要的安全机制,用于防止恶意第三方在用户浏览器伪造请求到你的应用。然而,在某些情况下,例如前后端分离的项目或者API接口,你可能...
django-csrf使用和禁用方式
12-20
Django CSRF(跨站请求伪造)是Web应用一种安全机制,用于防止恶意第三方伪造用户的请求。在Django框架CSRF保护是默认启用的,以确保只有合法的用户操作才能被执行。以下是对标题、描述和标签内容的详细解释:...
Django预防CSRF攻击的操作
12-20
总的来说,Django提供了强大的CSRF防护机制,但同时也要求开发者在设计和实现应用程序时始终保持警惕,确保所有的敏感操作都受到有效的CSRF保护。同时,定期更新Django框架和依赖库,以获取最新的安全补丁,也是维护...
django下的csrf防御机制
afftl7302的博客
06-21 95
CSRF 1、什么是CSRF?   CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 2、原理 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤 : 1.登录受信任网站A,并在本地生成Cookie 。 2.在...
CSRF攻击原理&Django的应用方法
u012556900的专栏
02-26 3610
CSRF攻击原理 Cross Site Request Forgery 跨站请求伪造 一句话总结:都是cookie惹的祸,所以先看看cookie cookie的作用流程 当输入一串网址登陆一个安全的站点如:www.XXX.com,并登陆到你的账号,服务器就会分配一个cookie给浏览器,里面包含了认证的信息,用户在这个站点打开其他的网页时将就不用再输入用户名和密码,浏览器会自动将这个c
django csrf工作原理
杨佳佳的博客
08-01 840
参考链接地址:https://yiyibooks.cn/xx/Django_1.11.6/ref/csrf.html 一个基于随机secret值的CSRF cookie,其它站点无法获取到。 此Cookie由CsrfViewMiddleware设置。 它和每个响应一起发送,如果请求上没有设置,则调用django.middleware.csrf.get_token()(这个函数用于内部获取...
csrf验证机制
Cool的博客
08-08 460
CSRF(跨站请求伪造) CSRF 英文全称为 Cross SIte Request Forgery CSRF 通常指恶意攻击者盗用用户的名义,发送恶意请求,严重泄露个人信息危害财产的安全 CSRF攻击示意图 解决CSRF攻击 使用csrf_token校验 1.客户端和浏览器向后端发送请求时,后端往往会在响应的 cookie 设置 csrf_token 的值,可以使用请求钩子实现,...
django csrf机制
weixin_42948748的博客
02-23 153
看了很多网上的csrf机制的文章,我觉得百分之99解释的都是错误的。 错误说法1:CsrfViewMiddleware间件会把form表单的csrfmiddlewaretoken值与cookie的csrftoken字段值作比较,如果一样就表示合法。 what???我试验了一下,我不断地刷新带有form表单的页面,发现cookie的csrftoken在一段时间内并不会变,而表单的csrfmiddl...
CSRF漏洞原理攻击与防御(非常细)
最新发布
m0_61869253的博客
10-12 3348
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
DjangoCSRF原理及应用详解
热门推荐
AlexGeek
09-22 1万+
 Web开发十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造(CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
Django_CSRF_原理分析
Golang & Python 我的最爱
09-19 2062
关于CSRFCSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值