Day05-Cookie,Session,Csrf

最新推荐文章于 2024-08-28 12:58:37 发布
最新推荐文章于 2024-08-28 12:58:37 发布
阅读量134 收藏
点赞数
文章标签: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67425175/article/details/124422560
版权

文章目录

1. Cookie

1.1 Http短链接是什么?

短链接:接收一个请求,返回一个响应就中断连接。Http/1.0默认短链接
长连接:接收多个请求,返回多个响应。Http/1.1之后默认长连接

1.2 状态保持是什么?

保存每个人进入客户端的状态,记录身份

1.3 什么是Cookie?

键值对数据。明文保存在客户端。当进入页面时,服务器给生成cookie并返回给客户端。当客户端再一次进入页面时,可以发送携带cookie信息的请求,服务器辨别身份信息,返回响应。cookie不支持中文。容易被篡改
在这里插入图片描述

1.4 框架对于Cookie操作

设置并获取cookie信息

思路:先获取cookie信息。如果有就获取cookie信息;如果没有,就设置cookie信息,并获取。

#设置cookie信息
class CookieView(View):
    #没有cookie就设置cookie。有就展示当前cookie
    def get(self,request):
        # 获取当前cookie
        cookie_data = request.COOKIES.get('status')
        if cookie_data is None:
            # 如果没有cookie,就设置cookie
            resp = HttpResponse('设置cookie')
            # set设置cookie
            resp.set_cookie('status','kejindalao')
            # 返回设置的cookie
            return resp
        else:
            # 展示cookie
            return HttpResponse(f'当前cookie信息为{cookie_data}')
删除cookie信息

有两种方法,一种是通过浏览器删除,另一种是通过代码删除
第一种:通过浏览器删除
第一步:点击路径前的**圈圈里有!**的符号点击

第二步:点击“此网站权限
在这里插入图片描述
第三步:NO.1展示cookie文件夹
NO.2展示cookie文件夹里的内容
NO.3展示cookie信息
NO.4点击删除,实现删除

在这里插入图片描述
第二种通过代码删除

# 删除cookie信息
class DelCookieView(View):
    def get(self,request):
        resp = HttpResponse('删除cookie信息')
        # delete删除cookie信息
        resp.delete_cookie('status')
        # 返回响应
        return resp
防止篡改cookie

可以对cookie进行加密。使用salt=‘’,俗称:撒盐操作。使用salt加密后,再使用salt解密
在这里插入图片描述

2.Session

2.1 Session原理

session称为会话控制,简称会话。数据保存在服务器里边,不容易被篡改,比cookie安全。又离不开cookie

2.2 框架是如何存储管理Session的

session数据会存储在数据库的session表里,默认有效时期为两个星期
session创建的流程
在这里插入图片描述

2.3 框架如何操作Session

获取session

思路:先获取session信息,如果有就获取session信息,没有就设置session信息,并获取session信息

class SessionView(View):
    # 如果session不存在,就生成session。如果存在,就返回session信息
    def get(self,request):
        # 获取当前session
        session_data = request.session.get('money')
        if session_data is None:
            # 如果没有就设置session
            request.session['money'] = '1000'
            # 返回session信息
            return HttpResponse('设置session')
        else:
            # 返回session信息
            return HttpResponse(f"session信息为:{session_data}")
删除session信息
# 删除session信息
class DelSessionView(View):
    def get(self,request):
        # 如果session不存在,就返回session不存在
        if request.session.get('money') is None:
            return HttpResponse('session不存在')
        # 如果有就删除
        else:
            # 删除session信息
            del request.session['money']
            return HttpResponse('session已删除')
Session的删除总结

del:删除指定的内容,保留客户端session及未被指定的内容
clear:删除全部内容,保留客户端session
flush:全部删除。

Session 和 Cookie 的对比

对比项sessioncook
存储数据的位置服务器客户端的浏览器
安全比cookie安全不安全
对浏览器的性能要求当访问增多时会占用浏览器的性能不会占用浏览器性能
站点没有限制数据不超过4K,站点不超过20个

3.CSRF

3.1 什么是CSRF?

CSRF:跨站请求伪造

3.2 CSRF攻击模拟实现

在这里插入图片描述

3.3 如何防止CRSF攻击

因为get只是获得了数据的表面,查很多次是不会发生改变的,所有不需要进行防范。post请求可以获得数据的本质,会发生改变,所以需要防范。可以在页面中加入其他字段来防止CRSF攻击。

总结

session比cookie安全,但有离不开cookie,需要依靠cookie来获得数据,保存。

Wbig
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
csrfcookiesession、同源策略
2301_80361487的博客
01-26 375
大家都遵从了这个约定俗成的结果,把这两个域名都映射到同一个服务器。于是乎,不管你输入哪一个格式的网址,都是在访问同。的浏览器都会使用这个策略。同源策略的目的为了保证用户信息的安全,防止恶意的网站窃取数据。同源策略是浏览器最核心也是最基本的安全功能,现在所有支持。目前,所有浏览器都实行这个策略。在相当一段时间里,哪怕是现在,很多人仍然把带。所谓“同源”指的是“三个相同”。同源策略是非常重要的。人都将无障碍的获取私密信息,例如各个网。,这里要划重点了,这是个不带。最初,它的含义是指,告联盟、流量统计商、
Session、Token验证的区别以及CSRF攻击
近光的博客
06-06 7992
Session是什么 session意为“会话”。我们都知道HTTP是无状态的协议,但有时我们需要保存状态来进行后面的操作,比如某个电商网站的购物车功能(在不登录的情况下,也就是不使用数据库),如果不使用session,那么每次添加物品到购物篮后都不会保存,结果就是刷新一下购物篮就会变成空的。所以我们需要这个session来保存一定的状态。当用户打开某个网页的时候,就发生了一次会话,也就是...
Cookie & Session & CSRF
weixin_34319374的博客
03-09 114
新blog地址:http://hengyunabc.github.io/cookie-and-session-and-csrf/ 在线幻灯片地址: Cookie & Session & CSRF ...
cookiesessioncsrf
weixin_30314793的博客
05-10 88
cookie的设置和获取 1 import time 2 from tornado.web import RequestHandler 3 4 5 class IndexHandle(RequestHandler): 6 def get(self): 7 # 设置cookie 8 self.set_cookie('us...
cookiesession-csrf防护-中间件
weixin_33807284的博客
05-10 107
cookie概念: 是由服务器生成,保存在浏览器端的一小段文本信息。 cookie特点: 1) cookie是以键值对进行存储的。 2) 浏览器访问网站时,会将本地保存的跟网站相关的所有cookie发送给网站的服务器。 3) cookie是基于域名安全的。 4) cookie是有过期时间的,默认关闭浏览器之后过期。设置cookie: set_cookie(key, value, max_...
CSRFCookieSession和token之间不得不说得那些事儿
besmarterbestronger的博客
10-14 5331
文章目录1. 前言2. 什么是crsf?如何防止3. 什么是cookie?有什么用?机制?4. 什么是session?有什么用?机制?5. 什么是token?有什么用?为什么能防止csrf?6. 总结7. 参考文献 1. 前言 2. 什么是crsf?如何防止 3. 什么是cookie?有什么用?机制? 4. 什么是session?有什么用?机制? 5. 什么是token?有什么用?为什么能防止cs...
Module4-day4-Ung-dung-login
03-27
本模块"Module4-day4-Ung-dung-login"主要关注Java平台上的登录应用实现。Java是一种广泛使用的编程语言,尤其适合构建企业级应用,因此理解如何在Java环境下实现用户登录功能对于开发者来说至关重要。 登录功能...
Day02:Cookie怪兽第二天
03-21
"Day02:Cookie怪兽第二天"可能是指一系列关于理解、管理和利用Cookie的教程或学习计划的第二天内容。虽然没有具体的标签和详细描述,我们可以从Cookie的基础概念、工作原理、应用场景以及安全考虑等方面来深入探讨这...
猿创征文|HCIE-Security Day62:web安全基础,web协议详解,辨析cookiesession
小梁的博客
09-13 1762
第二步,将商品加入到购物车中时,你会调用/cart接口,但是注意,这个行为是和第一步是有关联关系的,是谁将什么物品加入到购物车中了?存在的问题:所以我们说涉及到交互时,情形就完全不一样了,因为这三步是有依赖关系的,第一步验证登录者是一个合法用户,验证通过给你返回200/OK,但是只要服务器给返回了响应,那么一个http的请求和响应就结束了。在点击一个纯的html网页,请求获取服务器的html文件资源时,每次http请求都会返回同样的信息,因为这个是没有交互的,每一次的请求都是相互独立的。
Day5 --- Flask-RESTful请求响应与SQLAlchemy基础
weixin_45228198的博客
06-12 281
flask-restful
Web安全Day1 - SQL注入实战攻防
hongrisec的博客
02-20 3119
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.Web安全Day1 - SQL注入实战攻防 https://mp.weixin.qq.com/s/zP0MZNhnZG_S9aoHDXzvWA 1. SQL注入 1.1 漏洞简介 结构化查询语言(Structured Query Language...
CSRF下的思考CookieSession、Token和JWT
qq_41841048的博客
05-05 1252
之前基于cookiesession有了大致了解,但是看完csrf之后感觉很乱,有了不少问题,于是做一个小总结,关于各种概念大家可以先去查一查其他的博文,该篇博文主要是针对个人一些疑问做记录 CSRF 跨站伪造请求 攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。...
为什么CSRF Token写在COOKIE里面
热门推荐
18年3月萌新白帽子
08-14 2万+
最近做渗透测试的时候经常看到用户的COOKIE信息里带有CSRF等字样的信息,问了一下同事,他们说这个是用来防御CSRF的字段。 这一下可把我弄懵了,因为我对CSRF的理解是:攻击者盗用用户的COOKIE执行非用户本意的操作。 我的想法是,用户的COOKIE就像是一张门禁卡一样,攻击者可以盗用用户的门禁卡,以被盗用户的身份来执行一些设计增删改的操作,既然用户已经盗用了用户的COOKIE刷卡进门...
CSRFCookie
agent_peakey的专栏
12-01 3790
【背景知识】 Cookie分为2种: 临时cookie,没有expire-day,浏览器打开网页得到,关闭网页销毁。 本地cookie,有expire-day,浏览器打开网页得到,生命期结束后才销毁,不论网页是否关闭。 浏览器同时打开了A页面和B页面(二者不同域名),A页面中有B页面的资源C。 所以用户打开A页面时,会请求B页面中的资源C,发给B的数据包中就带有临时cookie
CookieSession、Token、csrf跨域请求伪造
qq_39989608的博客
01-24 1009
Http无状态,所谓无状态就是说请求之间没有关联,前1秒你刚登录完,这时你想更改用户昵称又要输入用户名和密码进行身份验证。 Cookie cookie作用流程 用户输入用户信息,点击登录,浏览器发出登录http请求 服务器校验用户身份后,响应http请求,在response中添加头部Set-Cookie Set-Cookie key=value[;expire=<time>][;path=<path>][;domain=<domain>][;secure=<sec
Django 后端架构开发:存储层调优策略解析
weixin_52392194的博客
08-24 1412
在实际使用中,读写分离可以显著提高数据库的读性能,并减少主库的负载,适用于读多写少的业务场景。为了优化前端性能,可以采用页面静态化的方式,将频繁访问的动态页面预先生成静态页面,并通过 CDN 或缓存层进行分发,从而减少服务器的负载,提高页面响应速度。分布式文件系统还可以与 CDN(内容分发网络)结合使用,通过将静态资源分发到全球各地的 CDN 节点,进一步提升文件的访问速度,减少服务器的负载。此外,可以使用 Django 的模板缓存机制,将一些复杂的模板片段缓存起来,避免重复渲染。
Django 框架中F和Q的作用
sheji888的专栏
08-28 278
Django框架中,F()和Q()是两个非常有用的表达式对象,它们分别用于数据库查询中的字段操作和复杂查询条件的构建。
Django 框架中values和values_list的区别
最新发布
sheji888的专栏
08-28 291
输出格式values()返回的是字典的查询集,每个字典包含指定的字段和它们的值;而返回的是元组的查询集,每个元组包含指定的字段值。flat=True参数有一个flat=True的可选参数,当只查询一个字段并设置此参数为True时,它将返回一个简单的值列表,而不是元组的列表。使用场景:如果你需要获取多个字段的数据,并且希望以字典的形式访问它们,那么values()是更好的选择。如果你只需要几个字段的值,并且不关心它们是以字典还是元组的形式返回,或者你需要一个简单的值列表,那么可能更适合你的需求。
Django:配置Django报错:No such file:../../runserver
Ethan_Rich的博客
08-28 292
先看第四条,大部分可能是该原因。
cookieCSRF的防御
09-27
在防御CSRF(跨站请求伪造)攻击中,cookie起到了重要的作用。可以采取以下措施来防御CSRF攻击: 1. 使用SameSite属性:将cookie的SameSite属性设置为Strict或Lax,可以限制跨站点请求的发送方式,从而减少CSRF的风险。Strict模式下,所有的跨站点请求都不会发送cookie;Lax模式下,只有第三方请求(例如通过链接或图片)才会发送cookie。 2. 使用CSRF Token:在每个表单请求中,生成并包含一个CSRF Token,并确保每个表单提交时都要验证这个Token。这样可以防止攻击者使用伪造的请求来执行操作,因为攻击者无法获取到有效的Token。 3. 检查Referer头部:在服务器端对请求进行处理时,可以检查请求的Referer头部来确保请求是从预期的来源发送的。但是需要注意的是,由于隐私问题,该方法可能会面临一些限制。 4. 限制敏感操作:对于一些敏感操作,例如修改密码或删除账户等,可以要求用户进行额外的身份验证,例如输入密码或进行二次身份验证,以增加安全性。 5. 定期更新Token:为了增加安全性,可以定期更新CSRF Token,使之失效,从而减少被攻击的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值