07 - CSRF验证

最新推荐文章于 2024-05-19 17:05:33 发布
最新推荐文章于 2024-05-19 17:05:33 发布
阅读量188 收藏 1
点赞数
分类专栏: Django 文章标签: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58250910/article/details/132720934
版权

CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式

Django防御csrf攻击

django在setting文件中可以设置是否开启CSRF功能,默认是开启的,要关闭则注释掉,

Django默认对所有的POST请求进行csrftoken验证,若验证失败则返回403错误。

两种csrf验证方式

        1. @csrf_exempt装饰器

                (1). 直接在试图函数上定义装饰器

        2. 放在请求参数中

                (1). form 标签里加上  {% csrf_token %}, 会转换成隐藏的验证信息 
<form action="" method="post">
    {% csrf_token %}
    ...
</form>
   
                (2). js 中 获取隐藏的 input标签value值
 // 获取隐藏的 csrf value
var csrf = $('input[name="csrfmiddlewaretoken"]').val();
                (3). 组装csrf验证信息 到请求参数中
data: {"user": user, 'csrfmiddlewaretoken': csrf},
                (4). 代码示例 

                 (5). 代码优化:  部分参数提交

                 (6). 代码优化: 提交form表单内的所有name:value

一个微不足道的bug
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
聊聊前端安全之CSRF
奇舞周刊
01-05 945
本文作者为奇舞团前端开发工程师一、什么是CSRFCSRF(Cross Site Request Forgery,跨站域请求伪造),通常缩写为 CSRFCSRF攻击是攻击者通过伪装成受信任用户向服务器发起各种请求,达到欺骗服务器接收并执行指令,造成的一系列危害的一种网络攻击方式。二、CSRF的原理原理流程图形化展示如上图所示,下面为原理流程释义:用户正常登录A网站,登录成功后,A网站将Cooki...
网页制作之CSRF安全验证
zuefeng的博客
08-31 1072
学习目标: 理解CSRF工作原理,能够建立完整CSRF流程。 学习内容: 1、CSRF原理 在用户进行post提交数据时,先要经过CSRF中间件进行安全验证验证通过后才通过路由找到对应的view视图函数进行操作。 2、 创建CSRF流程 - 解除settings文件中对CSRF中间件的注释 MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middlew
CSRF 攻击实验:Token 不与 Session 绑定绕过验证
最新发布
Flag少侠的博客
05-19 4001
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求。CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
安全认证中的CSRF
梁老师教你编程序
10-26 2091
正常的访问时,客户端浏览器能够正确得到并传回这个伪随机数,而通过CSRF传来的欺骗性攻击中,攻击者无从事先得知这个伪随机数的值,服务端就会因为校验token的值为空或者错误,拒绝这个可疑请求。而,跨域转发,是没有这个过程的。这个图说明,在浏览器向服务端请求页面时,服务端将自己生成的token,返回给了浏览器,然后在发送post的时候,浏览器就带有了token。如果是,第三方网站跳转过去,就是直接操作的界面,就算是有了cookie,认证通过了,但是因为没有这个请求字段,所以操作是无法成功的。
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
csrf进行安全校验
化名三爷
07-18 748
请移步我的这篇博客: https://blog.csdn.net/zlxls/article/details/107432468 该文章主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善
CSRF:ring-csrf示例
01-28
4. **例外处理**:当CSRF验证失败时,`ring-csrf/protect`中间件可以配置为返回特定的HTTP错误代码或重定向到错误页面。开发者可以根据需要自定义这些行为。 5. **白名单和黑名单**:有些API请求可能不需要CSRF保护...
koa-csrf-header:检查 HTTP 标头字段中的 CSRF 令牌
05-30
Koa CSRF验证 的不支持将 CSRF 令牌验证为 HTTP 标头字段。 该软件包专门提供了该替代方案。 此方法需要启用客户端 JavaScript 来制作 AJAX 请求,但验证 HTTP 标头字段会更方便,因为您的表单模板不需要关心...
django-csrf使用和禁用方式
12-20
这个字段包含了当前用户的CSRF令牌,当表单被提交时,Django验证这个令牌,以确认请求是由合法用户发起的。 ```html {% csrf_token %} <!-- 表单内容 --> ``` **2. 全站禁用CSRF保护** 在Django的`settings....
Python库 | asgi-csrf-0.7.1.tar.gz
03-03
1. **生成和验证CSRF令牌**:它会为每个会话生成一个唯一的CSRF令牌,并确保在每个受保护的POST请求中检查该令牌的有效性。 2. **中间件集成**:`asgi-csrf`提供了一个中间件,可以轻松地集成到ASGI应用程序中,自动...
spring-security-jwt-csrf:使用Spring Security,Spring Boot和Vue js进行无状态JWT身份验证的演示
01-31
ЭтодемонстрацияаутентификациинаосноветокенасиспользованиемJSON网络令牌иCSRF,Spring安全,Spring启动иVue的JS。 СтекТехнологий...
浏览器页面安全-CSRF【安全篇】
问白的博客
04-02 738
CSRF (Cross-site request forgery),又称为“跨站请求伪造”,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的已登录状态发起的跨站请求。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事。目标站点存在漏洞用户要登录过目标站点黑客需要通过第三方站点发起攻击根据这三个必要的条件,介绍了如何避免CSRF。利用Cookie中的 SameSite 属性利用请求头中的Origin来判断请求的来源CSRF Token的方式。
详解入门安全测试最难懂的概念 —— CSRF
liwenxiang629的博客
12-19 721
对于刚刚入门安全的同学来说,csrf是最难理解的概念之一,本文会用最简单的方式对csrf进行讲解,包括csrf的定义,csrf典型的攻击流程以及如何对其进行防范,希望本文能够帮到大家!
CSRF安全漏洞
Given Wu
10-31 334
先看看跨站请求伪造(CSRF攻击)理解 一 概念 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 二 过程 1 受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/wit...
CSRF token is incorrect 问题解决
安全小白的博客
01-11 1513
CSRF token is incorrect问题解决
{% csrf_token %}使用无效的问题
weixin_43959331的博客
04-10 6526
关于{% csrf_token %}使用后无效果的解决方法。 以下解决方法纯本人学习过程结合百度得到的认为可行的方法,若大家还有其它解决方法或者有错误的地方,可以在评论中指导指导笔者。 一般情况我们使用pycharm创建一个DJango项目时,在项目根目录下的同名文件夹的setting.py文件里我们通常都能看到有一条设置 'django.middleware.csrf.CsrfViewMidd...
解决CSRF Failed: CSRF token from the ‘X-Csrftoken‘ HTTP header has incorrect length的错误
m0_66119504的博客
02-25 980
在settings.py文件中加入。浏览器中的csrftoken
ajax csrf错误,django+ajax+post出现csrftoken错误?
weixin_34395361的博客
08-06 225
为什么会出现csrf错误呢?我在data参数里面加入了csrf啊?Forbidden (CSRF token missing or incorrect.): /account/test/[20/Oct/2016 18:10:44] "POST /account/test/ HTTP/1.1" 403 2274ajax代码 var csrftoken = Cookies.get('csrftoken...
CSRF验证失败. 请求被中断.
weixin_43820008的博客
03-10 1376
CSRF验证失败. 请求被中断. 当出现这个bug的时候 一般情况下是使用<form>并用post传递的原因 只需要在<form>标签下一行加上{% csrf_token %}即可
Anti-CSRF token
09-24
Anti-CSRF token(跨站请求伪造防护令牌)是一种用于保护网站免受跨站请求伪造(CSRF)攻击的安全机制。它通过在用户访问网站时生成一个唯一的令牌,并将该令牌嵌入到每个表单或请求中。在提交表单或请求时,服务器会验证该令牌是否有效,如果无效则拒绝该请求。 使用Anti-CSRF token可以有效防止攻击者利用用户的身份执行恶意请求。攻击者往往通过诱使用户点击包含恶意代码的链接或访问被攻击的网站,然后在用户不知情的情况下发送恶意请求。但由于攻击者无法获取到有效的Anti-CSRF token,即使请求被发送到服务器,也会因为缺少有效的令牌而被服务器拒绝。 通常,生成Anti-CSRF token需要使用随机数生成器来确保每个令牌的唯一性。服务器端将生成的令牌存储在会话中,并在每次请求时将其与用户提交的令牌进行比较。如果两者不匹配,服务器会拒绝该请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值