csrf token作用

最新推荐文章于 2024-05-19 17:05:33 发布
最新推荐文章于 2024-05-19 17:05:33 发布
阅读量1.3w 收藏 6
点赞数 4
分类专栏: Python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/neu_xiaolu/article/details/90778761
版权

作用:

是防御CSRF攻击。

如何生成?

在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。

 

应用:

  • 表单中:添加隐藏字段csrf_token,来启用csrftoken验证
<form action="/add-name-v2" method="post">
        {% csrf_token %}
        <input type="text" name="name">
        <input type="submit" value="提交">
</form>

不能写到cookie中,因为浏览器在发出恶意csrf请求时,是自动带着你的cookie的。

 

  • Django项目中:

启用csrftoken验证:

from django.template.context_processors import csrf


def login(request):
    # omit the detail login logic
    return render(request, 'user/login.html', {'form': form, }, csrf(request))

在视图函数当中添加csrf_exempt装饰器,来取消csrftoken验证:

@csrf_exempt
def login(request):
  • ajax中的使用: 待补充

 

参考文档:

https://www.cnblogs.com/mengfangui/p/9075615.html

https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/#icomments

neu_xiaolu
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在django中使用post方法时,需要增加csrftoken的例子
09-17
在Django框架中,为了确保Web应用的安全性,防止CSRF(Cross-site request forgery)攻击,开发者需要在处理POST请求时添加一个名为`csrftoken`的令牌。CSRF攻击是一种恶意用户在用户浏览器中利用已登录用户的权限...
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 2万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
CSRF 攻击实验:Token 不与 Session 绑定绕过验证
最新发布
Flag少侠的博客
05-19 3975
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求。CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
CSRFToken
人丑就要多读书的博客
10-23 1万+
16_csrf攻击流程[了解] 解释: 跨站点请求伪造 掌握: 需要理解讲义中的攻击流程图 代码演示: webA, webB 17_csrf攻击手动解决[了解] 在cookie增加一个csrf_token 在表单中增加一个csrf_token 校验: 取出cookie和表单中的csrf_token比较如果二者一致那么是正常请求 具体过程,看keynote图解 18_CSRFProtect解决csrf[理解] 使用流程: 1.安装扩展包 pip install flask-wtf 2.导入包
Laravel CSRF token mismatch
w7570061的博客
08-31 3045
如果登录页面是 http://admin.siguoya.name/admin/auth/login, 而登录表单的 action 显示的是 http://127.0.0.1:8080/admin/auth/login,则在输入完账号密码之后,发起 post 请求,此时会导致 'CSRF token mismatch.' 至于为啥 Laravel 的 url() 方法获取的不是 admin.siguoya.name 而是 127.0.0.1:8080,原因并不是出在框架本身上面。经过排查发现是 nginx
csrftoken
rikka
10-28 1113
csrftoken CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息。 解决csrf攻击的最...
python csrf token_python之csrf简介
weixin_39570838的博客
12-08 344
django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。全局:中间件 django.middleware.csrf.CsrfViewMiddleware局部:@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中...
csrf_token相关介绍
weixin_41918841的博客
08-22 1937
最近模拟登陆,发现CsrfToken是个很麻烦的问题,所以看了一下CsrfToken的一些介绍。发现这篇文章写得很不错,所以转载过来。 CSRF 背景与介绍 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟...
invalid csrf token 问题解决
lepton126的专栏
09-06 2万+
该条消息意是指浏览器无法创建安全的cookie或者无法读取授权登录的cookie,应该是浏览器本身不允许设置cookies。 以下步骤可解决这个问题。 Chrome 打开Chrome的设置。 在隐私设置和安全性版块中,点击Cookies及其他网站数据。 下滑到始终能使用 Cookie 的网站并点击添加。 复制粘贴"[*.]example.com"并点击添加。 然后复制粘贴"[*.]test.net"并点击添加。 点击所有cookies和网站数据,搜索example或test,然后删除所有的相关条目。 重
Axios.post 请求报错: 403 Forbidden missing csrf token 和 invalid csrf token
guoqkmiss的博客
11-30 2210
Axios.post。
CSRF token is incorrect 问题解决
安全小白的博客
01-11 1495
CSRF token is incorrect问题解决
解决Django提交表单报错:CSRF token missing or incorrect的问题
12-20
当你遇到"CSRF token missing or incorrect"的错误时,这通常意味着在处理表单提交时,Django无法找到或验证有效的CSRF令牌。 首先,我们来理解Django中的CSRF机制。Django会在用户首次访问网站时生成一个唯一的...
superagent-django-csrf:修补程序,将cookie中的`csrftoken`作为X-CSRFToken`标头添加到每个超级代理的请求中
05-02
补丁加csrftoken从饼干作为X-CSRFToken头球每个SuperAgent的要求。 用法 // Just require patch require ( 'superagent-django-csrf' ) ; 安装 npm install superagent-django-csrf 执照 麻省理工学院:copyright:
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
django-react-csrftoken:一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单
02-03
npm install --save django-react-csrftoken 用法 import React from 'react' ; import DjangoCSRFToken from 'django-react-csrftoken' class MyLoginForm extends React . Component { render ( ) { return ( ...
详解php curl带有csrf-token验证模拟提交方法
10-18
主要介绍了详解php curl带有csrf-token验证模拟提交方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
对laravel的csrf 防御机制详解,及form中csrf_token()的存在介绍
01-03
Laravel 会自动在用户 session (根据session_id 关联确认属于谁) 生成存放一个随机令牌(token)放在session中,并且如果使用 Laravel 的 {{form::open}} 会自动隐藏存在 csrf_token(),如果需要写html form 则需要在...
backbone.csrf:为所有Backbone同步请求配置X-CSRFToken标头
04-29
主干.csrf 将您的Backbone应用程序配置为与受CSRF保护的后端Web框架兼容 作者 兼容性 同时支持AMD / CommonJS规范。 依存关系 bone.csrf支持 1.7.1或更高版本 需要 安装 凉亭 bower install backbone.csrf NPM ...
csrf token流程
06-12
CSRF token 的工作流程一般如下: 1. 用户访问网站并登录,服务器为该用户创建一个会话,并在该会话中生成一个唯一的 CSRF token,将其存储在服务器端。 2. 当用户访问包含表单或其他敏感操作的页面时,服务器将该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值