深入理解csrf(flask实例)

最新推荐文章于 2024-05-21 09:00:00 发布
最新推荐文章于 2024-05-21 09:00:00 发布
阅读量229 收藏
点赞数
分类专栏: python开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22526061/article/details/112237578
版权

看了好多csrf的介绍,大概意思是 在A网站登录了,存储了cookie,在此期间访问了B网站,B站里面使用可以跨域的标签比如src,来直接调用A站重要接口(例如转账)直接完成转账

之前一直不理解,为什么访问网站B的时候 会带着A的登录信息(cookie)

后来想通了,<img src='http://www.baidu.com'> 其实就相当于 直接发送http://www.baidu.com的请求 ,cookie是与当前发送请求对应的,比如在一个页面下,F5刷新后 有很多请求,比如下图,10.20.2.3对于的是10.20.2.3网站的cookie, 127.0.0.1:8000对应的是127.0.0.1的cookie(顺便提下,cookie是same-site原则,同一个ip不同端口共用一个cookie)

 flask实验如下

危险网站B flask模拟程序如下  启动在我自己的ip(10.20.2.3)下

# 此为模拟危险网站B
from flask import Flask, make_response, request, render_template

app = Flask(__name__)


@app.route('/index')
def index():
    print('index')
    return render_template('./b.html')


if __name__ == '__main__':
    app.run(port=5000, host='0.0.0.0')

 简单html如下  ,主要代码为

<img src="http://127.0.0.1:8000/account">  此接口为A网站转账接口,需要认证
<html>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />

<head>
<title>HTML 页面</title>
</head>

<body>
<img src="http://127.0.0.1:8000/account">
</body>

</html>
<script>
</script>

正常银行网站模拟如下: 启动在127.0.0.0 下

from flask import Flask, make_response, request


app = Flask(__name__)


@app.route('/login')
def login():
    res = make_response('suc')
    res.set_cookie('key1', 'value1')
    res.set_cookie('key2', 'value2')
    user_name = 'user'
    password = 'pass'
    return res


@app.route('/account')
def account():
    if request.cookies.get('key1') == 'value1':
        print('转账10000')
        return '转账10000'
    else:
        print('未登录')
        return '未登录'
app.run(port=8000)

这里我用127.0.0.1 和自己ip(10.20.2.3) 来作为不同域,不会共享cookie

首先访问A网站http://127.0.0.1:8000/account,显示未登录

访问http://127.0.0.1:8000/login 获取cookie

再次访问http://127.0.0.1:8000/account

 

因为有cookie 所以成功通过认证

这时访问危险网站http://10.20.2.3:5000/index

可以看到 有cookie,成功通过了认证,它利用了原网站的cookie

这样就完成了一次攻击 

 

qq_652530495
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python开发网站实例-【9】Python接口开发:flask Demo实例
weixin_37988176的博客
10-30 495
举例1,返回当前时间接口'''初始化:所有的Flask都必须创建程序实例,web服务器使用wsgi协议,把客户端所有的请求都转发给这个程序实例程序实例Flask的对象,一般情况下用如下方法实例Flask类只有一个必须指定的参数,即程序主模块或者包的名字,__name__是系统变量,该变量指的是本py文件的文件名'''from flask importFlaskimportdatetimeser...
flask中的csrf防御
zy_whynot的博客
03-25 737
flask中的csrf防御机制 两种方式: 方式一: 1、在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值 2、在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token 3、在用户点击提交的时候,会带上这两个值向后台发起请求 4、后端接受到请求,以会以下几件事件: (1)从 cookie中取出 csrf_token (2)从 表单数......
一个简单的flask实例
西部壮仔的博客
03-29 3244
Flask是python编写的轻量级的web框架 # 导入Flask类 from flask import Flask # 实例化,可视为固定格式 app = Flask(__name__) # route()方法用于设定路由;类似spring路由配置 @app.route('/') #首页 def hello_world(): return '这里是首页' @app.route('/...
python的简单web框架flask【附例子】
最新发布
hac1322的博客
05-21 1033
今天好奇,去了解了一下python的web框架。
Flask快速原型开发及实例
2301_77778490的博客
09-15 431
例如,你可以使用Flask-Login来添加用户认证,使用Flask-Bcrypt来对密码进行哈希加密,使用Flask-Mail来发送电子邮件,等等。如果你的Flask应用需要使用数据库,你可能需要处理数据库迁移。在这个例子中,我们定义了一个User模型,并使用Flask-SQLAlchemy进行了数据库的初始化,然后在路由处理函数中查询了所有用户的信息。Flask快速原型开发及实例Flask是一个Python Web框架,它的主要特点是轻量级、易于学习和使用,适合快速开发Web应用程序的原型。
Python Flask开发实例(自己敲的试验楼小Demo)
01-26
Flask web开发了一个简单的博文系统,用户可登录登出,发表博文,并在网页上实时查看历史博文,数据库使用了sqlite3,测试已经通过。
Flask框架 CSRF 保护实现方法详解
09-18
首先,我们需要理解为什么需要CSRF保护。CSRF攻击主要针对那些无需用户验证就能执行敏感操作的HTTP请求,如修改用户资料、转账等。攻击者通过诱使用户点击恶意链接或在其他网站上嵌入恶意代码,使得用户浏览器在不...
flask网站开发实例employment
01-11
Flask网站开发实例—— Employment》 在Web开发领域,Flask框架因其轻量级、易于上手的特点,成为许多初学者和专业人士的首选。在这个名为"Employment"的项目中,我们将深入探讨如何利用Flask进行网站开发,实现...
基于web端flask登录注册设计
06-30
1. `app.py`:这是Flask应用的主入口文件,通常包含应用实例的创建、路由定义、以及任何其他自定义逻辑。开发者在这里定义了处理HTTP请求的视图函数,比如登录、注册页面的GET和POST请求处理。 2. `templates`:这...
python框架flask表单实现详解
09-18
接下来我们将深入探讨Flask-WTF如何帮助我们创建和处理表单。 首先,安装Flask-WTF扩展,通过运行以下命令: ```bash pip install flask-wtf ``` 这个扩展提供了WTForms库的集成,WTForms是一个强大的表单处理库...
Python微型web开发框架flask介绍及一个小例子
热门推荐
刘春明的博客
05-06 4万+
1、FLASK简介 flask是一种非常容易上手的python web开发框架,不需要我们知道太多的MVC的概念,只需要具备基本的python开发技能,就可以开发出一个web应用来。 flask的官网:http://flask.pocoo.org/(我访问不了,原因你知道的!) flask中文文档:http://dormousehole.readthedocs.org/en/latest
做一个网站需要多少钱
05-16
做一个网站需要多少钱?这个是很多第一次做网站的朋友最关心的问题,下面小编为你讲解一下网站的主要三个费用组成...
Flask 项目中解决csrf攻击
yutu75的博客
11-22 823
首先装个库吧,命令如下: pip install flask_wtf 在 Flask 中, Flask-wtf 扩展有一套完善的 csrf 防护体系,对于我们开发者来说,使用起来非常简单 设置应用程序的 secret_key,用于加密生成的 csrf_token 的值 # 1. session加密的时候已经配置过了.如果没有在配置项中设置,则如下: app.secret_key = "#此处可以写随机字符串#" # 2. 也可以写在配置类中。 class Config(object): DE
做一个网站多少钱?
java面试笔试
10-20 343
Java面试笔试面经、Java技术每天学习一点Java面试关注不迷路作者:kimix 的博客来源:kimix.name/做一個網站多少錢?/「一辆车子多少钱?一个房子多少钱?」这问题在工...
Flask最基本示例
FatPuffer
04-18 3295
1. app # coding:utf-8 from flask import Flask, current_app, redirect, url_for # 创建Flask的应用程序 # __name__表示当前的模块名字 # 模块名:flask以这个模块所在的目录为总目录,默认这个目录中的static为静态目录,templates为模板目录 app = Flask(__...
Flask项目实战01
秀玉轩晨的博客
11-07 1398
pipenv的是配置与使用 链接: https://zhuanlan.zhihu.com/p/71598248. 链接: https://zhuanlan.zhihu.com/p/104935266. 创建程序实例 可以从flask包中导入Flask类,这个类表示一个Flask程序 from flask import Flask app = Flask(__name__name) ...
python flask 简单示例
zy0412326的专栏
06-13 936
这只是一个非常简单的示例,展示了Flask的基本用法。Flask还有很多功能和特性,可以用于构建更复杂的Web应用程序。你可以通过添加更多的路由和处理函数来扩展这个示例。还可以使用模板引擎来生成动态的HTML页面,处理表单提交,访问数据库等。这将启动一个本地的开发服务器,监听默认的5000端口,并开始接收和处理HTTP请求。是处理函数,它返回一个简单的字符串"Hello, World!模板的在根目录下的templates文件夹下,项目结构。装饰器来定义根路由的处理函数。,对应于网站的根目录。
Flask简单实例-1
weixin_44930101的博客
05-13 1487
# py from flask import Flask, render_template, request, url_for, redirect from flask_sqlalchemy import SQLAlchemy app = Flask(__name__) app.config.from_object('setting') db = SQLAlchemy(app=app) ...
手把手带你学会Flask框架
03-03
Flask框架是Python后端轻量级的框架,其 WSGI 工具箱采用 Werkzeug ,模板引擎则使用 Jinja2,以简洁著称。深受很多公司的喜欢,通过官方扩展和第三方扩展,使Flask框架更加多样化。
"深入了解CSRF攻击及防御
通过学习这门课程,学生将能够更好地理解CSRF的特点和原理,学会如何利用CSRF攻击,以及如何预防和防御CSRF漏洞。 在课程中,学生将学习到CSRF的概念和介绍,了解其攻击原理和危害。同时,课程还将深入讲解CSRF的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值