Django框架之csrf跨站请求

最新推荐文章于 2023-11-27 21:16:21 发布
最新推荐文章于 2023-11-27 21:16:21 发布
阅读量1.2k 收藏 13
点赞数 20
文章标签: django csrf python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71292438/article/details/134605679
版权
本文详细介绍了CSRF跨站请求伪造攻击及其在Django框架中的防范措施,包括使用CSRF令牌、设置Cookie、验证请求来源及使用验证码。重点讲解了Django中的csrf校验过程,如form表单和ajax的校验方法,以及相关装饰器的使用,旨在提高Web应用的安全性。
摘要由CSDN通过智能技术生成

【一】csrf跨站请求伪造详解

  • CSRF(Cross-Site Request Forgery)跨站请求伪造是一种常见的网络攻击方式。
  • 攻击者通过诱导受害者访问恶意网站或点击恶意链接
    • 将恶意请求发送到目标网站上
    • 利用受害者在目标网站中已登录的身份来执行某些操作
    • 从而达到攻击的目的。
  • 要保护自己免受CSRF攻击,网站开发者可以采取以下措施:
    • 使用CSRF令牌:
      • 在用户的请求中添加随机生成的令牌,并将该令牌保存在用户会话中。
      • 每次提交请求时都会验证该令牌,以确保请求是合法的。
  • 启用SameSite属性:
    • 将Cookie的SameSite属性设置为Strict或Lax,以限制跨站请求。
    • 这可以在一定程度上缓解CSRF攻击。
  • 严格验证请求来源:
    • 服务器端可以验证请求的来源是否为预期的网站域名
    • 例如检查HTTP Referer头部。
  • 使用验证码:
    • 在敏感操作(如转账、更改密码等)上使用验证码
    • 增加用户身份验证的防护。

【二】csrf跨域请求伪造

  • 钓鱼网站
    • 搭建一个类似正规网站的页面
    • 用户点击网站链接,给某个用户打钱
    • 打钱的操作确确实实提交给了中国银行的系统,用户的钱也确实减少
    • 但是唯一不同的是,账户打钱的账户不是用户想要打钱的目标账户,变成了其他用户
  • 内部本质
    • 在钓鱼网站的页面针对对方账户,只给用户提供一个没有name属性的普通input框
    • 然后在内部隐藏一个已经写好带有name属性的input框
  • 如何避免上面的问题
    • csrf跨域请求伪造校验
      • 网站在给用户返回一个具有提交数据功能的页面的时候会给这个页面加一个唯一标识
      • 当这个页面后端发送post请求的时候,我们后端会先校验唯一标识
        • 如果成功则正常执行
        • 如果唯一标识不符合则拒绝连接(403 forbidden)

【1】正常服务端

  • 前端
<h1>这是正规的网站</h1>

<form action="" method="post">
    <p>当前账户 :>>>> <input type="text" name="start_user"></p>
    <p>目标账户 :>>>> <input type="text" name="end_user"></p>
    <p>转账金额 :>>>> <input type="text" name="money"></p>
    <input type="submit">
</form>
  • 后端
def transform_normal(request):
    if request.method == "POST":
        user_start = request.POST.get("start_user")
        user_end = request.POST.get("end_user")
        money = request.POST.get("money")
        return HttpResponse(f"当前账户 :>>> {user_start} 向目标用户 :>>> {user_end} 转账了 :>>> {money}")
    return
最低0.47元/天 解锁文章
台州吃柴小男孩
关注
  • 20
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Django CSRF
光明小学王小雨的博客
12-16 1817
一、CSRF攻击攻击原理及过程 CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络的攻击方式 1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B...
Django 跨站请求伪造(csrf)防御——解决 POST 请求 403 问题
平头
08-08 806
文章目录背景Django跨站请求伪造(csrf)防御取消 csrf 防御对某个特定请求开启 csrf 防御设置 csrf token客户端该如何处理 csrf token针对 csrf 的一些配置项 背景 正在使用 Django 框架做项目,需要在页面上进行 POST 请求请求由 axios 进行处理。 处理过程中总是出现 403 Forbidden,于是仔细研究了一下。 Django跨站请求伪造(csrf)防御 如果你啥也不想管,就想让自己的 403 消失,那么可以直接看下一节。 首先什么是 c
【安全】(二)Djangocsrf防御
财迷的博客
02-28 1269
【安全】(二)Djangocsrf防御
Django中post请求csrf的处理
weixin_44632941的博客
02-19 856
Django中,post请求在服务器端的视图处理中,如果没有csrf_token的内容,服务器端将会拒绝响应,解决办法有三种 1、在form表单中添加{ %csrf_token% }标签,数据可正常提交处理 2、将setting中的CsrfViewsMiddleware中间件删除 3、在处理视图函数前面加上装饰器@csrf_protect 其中后两种都会让网站失去csrf保护功能 ...
django中使用post方法时,需要增加csrftoken的例子
09-17
主要介绍了在django中使用post方法时,需要增加csrftoken的例子,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Django CSRF跨站请求伪造防护过程解析
09-18
Django框架提供了一套强大的CSRF防护机制,以防止这种攻击。 在Django中,CSRF防护主要通过以下步骤实现: 1. **生成CSRF令牌**:Django会在每个用户会话开始时生成一个唯一的CSRF令牌,并将其存储在用户的session...
Django中如何防范CSRF跨站请求伪造攻击的实现
09-19
Django框架提供了内置的支持来防止CSRF攻击,主要是通过**CsrfMiddleware**中间件来实现的。 1. **自动添加CSRF Token**: 当处理POST表单时,Django会自动在表单中添加一个名为`csrfmiddlewaretoken`的隐藏字段,其...
Python Django框架防御CSRF攻击的方法分析
09-18
Python的Web开发框架Django中,CSRF(Cross-site request forgery,跨站请求伪造)是一种常见的安全威胁,它允许攻击者通过受害者在已登录的网站上的合法身份执行恶意操作。为了保护用户免受此类攻击,Django提供...
django框架CSRF防护原理与用法分析
12-31
本文实例讲述了django框架CSRF防护。分享给大家供大家参考,具体如下: CSRF防护 一、什么是CSRFCSRF: Cross-site request forgery,跨站请求伪造 用户登录了正常的网站A, 然后再访问某恶意网站,该恶意网站...
django @csrf_exempt
v791106444的博客
05-23 3154
在views.py中 from django.views.generic.base import View class ueditor(View): @csrf_exempt def post(self, request): print(request.POST.get('abc', "")) return render(request, "...
Python web实战之Django跨站请求伪造(CSRF)保护详解
Rocky006的博客
08-16 1289
本文详细介绍了 Django 中的跨站请求伪造(CSRF)保护机制。实际开发中,仅仅靠CSRF机制并不是绝对安全的,还应该结合其他安全措施,综合多种技术来确保应用程序的安全性。
DjangoCSRF 入门
lelemom的博客
01-26 279
DjangoCSRF防护原理及使用    https://blog.csdn.net/haoaiqian/article/details/72803936 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。 全局: 中间件 djang...
Django框架CSRF使用篇
json_li的博客
07-12 805
Csrf验证在项目中对于安全非常重要,通过上述的csrf设置与使用,对django框架又增加了一些了解,在使用上可以更加的灵活。
【网络教程】Django中发起POST请求时,因为开启防止csrf,报403错误等错误的几种解决方法!
XiaoqiangClub的博客
05-17 484
@ [toc] 问题描述 Django默认开启防止csrf(跨站请求伪造)攻击,在post请求时,如果没有上传 csrf字段,会导致校验失败,从而报错! 解决方案 注释中间件 最简单的一种方式就是在中间件直接注释掉csrf的验证 但是这样做缺点也很明显:导致Django项目完全无法防止csrf攻击 使用csrf_exempt装饰器 在 views.py文件中使用@csrf_exempt装饰器 # !/usr/bin python3 # encoding : utf-8 -*- #
DjangoCSRF原理及应用详解
热门推荐
AlexGeek
09-22 1万+
 Web开发中十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造(CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
Django的POST请求报403,及四种解决方法
最新发布
11-27 1196
djangocsrf安全工作顺序是:先从后台获取csrf_token 并发送给前端,然后前端在进行form表单提交时,把带有名为csrfmiddlewaretoken,值为 csrf_token 的字段一起发送给后端进行校验。Django默认开启防止csrf(跨站请求伪造)攻击,在post请求时,没有上传 csrf字段,导致校验失败,报403错误。但是本人不使用MTV模式进行开发,只使用 Restful模式,所以对于Restfu模式开发的,使用第四种解决方法。优点:完成了 csrf 安全校验。
Django基础7——用户认证系统、Session管理、CSRF安全防护机制
百慕卿君博客
08-29 976
1、Django内置auth模块实现的用户认证系统。 2、Django Session管理,自主开发用户认证系统(基于装饰器)。 3、CSRF安全防护机制。
django的crsf机制防御详解及在前后端分离中post数据到django-vue
weixin_30588675的博客
12-01 238
django的crsf机制防御详解及在前后端分离中post数据到django 更新于:2018-07-28|分类于django CSRF(Cross Site Request Forgery) 跨站点伪造请求 某个用户已经登陆了你的网站,另外有一个恶意的网站有一个指向你网站的链接,那么当用户点击这个链接时,就会请求你的网站,但是你的网站以为是用户发来的请求,这时恶意网站就得逞...
Django 中针对基于类的视图添加 csrf_exempt
weixin_33918357的博客
04-17 137
2019独角兽企业重金招聘Python工程师标准>>> ...
django框架下,CSRF verification failed. Request aborted.
03-28
Django 框架下,CSRF 验证失败通常是因为在提交表单时,服务器无法验证请求是否来自合法的用户。这可能是因为用户会话过期或被注销,或者跨站请求伪造攻击。 要解决这个问题,可以在表单中添加一个 CSRF 令牌...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值