django中间件CsrfViewMiddleware源码分析,探究csrf实现

最新推荐文章于 2023-11-23 17:15:30 发布
最新推荐文章于 2023-11-23 17:15:30 发布
阅读量1.6k 收藏 2
点赞数 2
文章标签: django python u
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27952549/article/details/82392790
版权
本文详细分析了Django的CsrfViewMiddleware中间件,包括流程、关键方法如get_token,以及如何防止CSRF攻击。通过理解中间件的工作原理,可以更好地了解Django的CSRF保护策略。
摘要由CSDN通过智能技术生成

Django Documentation

csrf保护基于以下:
1. 一个CSRF cookie 基于一个随机生成的值,其他网站无法得到。此cookie由CsrfViewMiddleware产生。它与每个调用django.middleware.csrf.get_token()(这是一个用于取回CSRF token的方法)的响应一起发送,如果它尚未在请求上设置的话。
为了防止BREACH攻击,token不仅仅是秘密;随机的salt被置于secret之前并用来加密它。出于安全原因,每次用户登录时都会更改密钥的值。

  1. 所有传出POST表单中都有一个名为csrfmiddlewaretoken的隐藏表单字段。此字段的值同样是秘密的值。salt添加到它并用于加扰它。每次调用get_token()时都会重新生成salt,以便在每个此类响应中更改表单字段值。这部分由template的{% csrf_token %}完成。

  2. 对于未使用HTTP GETHEADOPTIONSTRACE的所有传入请求,必须带有CSRF cookie,并且csrfmiddlewaretoken字段必须存在且正确。如果不是,用户将收到403错误。
    验证csrfmiddlewaretoken字段值时,只将secret而不是整个token与cookie值中的secret进行比较。这允许使用不断变化的token。虽然每个请求都可以使用自己的token,但secret仍然是所有人共同的。
    此检查由CsrfViewMiddleware完成。

  3. 此外,对于HTTPS请求,严格的引用检查由CsrfViewMiddleware完成。这意味着即使子域可以在您的域上设置或修改cookie,它也不能强制用户发布到您的应用程序,因为该请求不会来自您自己的确切域。 这也解决了在使用会话独立秘密时在HTTPS下可能发生的中间人攻击,因为即使在HTTPS下与站点通信时,HTTP Set-Cookie标头(不幸)也被客户接受了。 。 (对HTTP请求不进行引用检查,因为在HTTP下,Referer头的存在不够可靠。) 如果设置了CSRF_COOKIE_DOMAIN设置,则会将引用者与其进行比较。此设置支持子域。例如,CSRF_COOKIE_DOMAIN ='.example.com'将允许来自www.example.comapi.example.com的POST请求。如果未设置该设置,则referer必须与HTTP Host标头匹配。 可以使用CSRF_TRUSTED_ORIGINS设置将已接受的引用扩展到当前主机或cookie域之外。

流程图

这里写图片描述

CsrfViewMiddleware.process_request

# django/middleware/csrf.py
class CsrfViewMiddleware(MiddlewareMixin):
    def process_request(self, request):
        csrf_token = self._get_token(request)
        # 第一次访问,csrf_token返回None,

        if csrf_token is not None:
            # Use same token next time.
            request.META['CSRF_COOKIE'] = csrf_token
            # request.META 是一个 Python 字典,包含了所有本次 HTTP 请求的 Header
            # 信息,比如用户 IP 地址和用户Agent(通常是浏览器的名称和版本号)。
settings = LazySettings()

这是一个惰性加载, 参考
- Django 源码阅读(二): settings懒加载

- django/conf/global_settings.py

方法_get_token,从名字上来看就是获取token,_get_token在后面多处地方都有用到

# django/middleware/csrf.py
def _get_token(self, request):
    # CSRF_USE_SESSIONS在django/conf/global_settings.py,默认为False,执行else
    if settings.CSRF_USE_SESSIONS:
        try:
            return request.session.get(CSRF_SESSION_KEY)
        except AttributeError:
            raise ImproperlyConfigured(
                'CSRF_USE_SESSIONS is enabled, but request.session is not '
                'set. SessionMiddleware must appear before CsrfViewMiddleware '
                'in MIDDLEWARE%s.' % ('_CLASSES' if settings.MIDDLEWARE is None else '')
            )
    else:
        try:
            cookie_token = request.COOKIES[settings.CSRF_COOKIE_NAME]
            # CSRF_SESSION_KEY= "csrftoken"
        except KeyError:
            # 第一次访问的时候 request.COOKIES = {},所以直接返回
            return None

        csrf_token = _sanitize_token(cookie_token)
        # csrf 对不上 cookie里 的 token,标记csrf_cookie_needs_reset=True,
        # 在process_response的方法中判定
        if csrf_token != cookie_token:
            # Cookie token needed to be replaced;
            # the cookie needs to be reset.
            request.csrf_cookie_needs_reset = True
        return csrf_token

# /django/middleware/csrf.py

CSRF_SECRET_LENGTH = 32
CSRF_TOKEN_LENGTH = 2 * CSRF_SECRET_LENGTH
最低0.47元/天 解锁文章
qq_27952549
关注
django源码分析中间件CsrfViewMiddleware
Victor_Monkey的博客
12-18 1086
本文环境python3.5.2,django1.10.x系列 介绍django中关于跨域请求保护的内容,主要由其中一个中间件完成,下面稍微讲一下关于csrf原理和django中间件在请求中的作用,重点将放到CsrfViewMiddleware中间键的源码讲解。 csrf原理 CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存...
Djangocsrf中间件源码解析
sinat_30812239的博客
08-02 329
Djangocsrf中间件源码解析:'django.middleware.csrf.CsrfViewMiddleware', """ Cross Site Request Forgery Middleware. This module provides a middleware that implements protection against request forgeries from ...
Django csrf源码解析(DRF会避开 csrf 因为其类 APIView 继承了Django框架的 View 并重写了 as_view 方法)
cpxsxn的博客
08-15 574
本文要说明一个问题: Django 后端什么时候会让前端在 cookie 中的写 crsftoken? 是每次请求都会写一个新的 crsftoken 吗? C:\Python27\Lib\site-packages\django\middleware\csrf.py def _sanitize_token(token): # Allow only alphanum if le...
Django_CSRF_原理分析
Golang & Python 我的最爱
09-19 2083
关于CSRFCSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。
Django中间件CsrfViewMiddleware
weixin_30363981的博客
10-05 150
1、CsrfViewMiddleware 1.1、CSRF:跨站请求伪造   CSRF全称为Cross-site request forgery,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
Django框架提供了一个内置的中间件`django.middleware.csrf.CsrfViewMiddleware`来帮助开发者防范这种攻击。 **一、Django后台处理** 1. **启用CSRF保护中间件**: 在Django项目的`settings.py`文件中,你需要...
Django 024】中间件Middleware(三):Django自带csrf中间件源码分析以及跳过csrf报错的四种方法
T型人小付的博客
04-17 1079
Django作为一个重量级框架,其已经事先为我们内置了很多安全模块,CSRF中间件就是其中之一。那么究竟什么是CSRF,其中间件工作原理是怎样的,我们又应该如何去使用CSRF呢。这一篇文章我们一起来深入学习一下。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录什么是CSRFCSRF的防范策略Django中的...
django 中间件 CsrfViewMiddleware 200318
鲸鱼编程-python全栈
03-24 138
DjangoCSRF中间件django.middleware.csrf.CsrfViewMiddleware
weixin_42213622的博客
10-09 1128
文章目录1 csrf中间件功能及原理 1 csrf中间件功能及原理 CSRF # 表示django全局发送post请求均需要字符串验证 功能:防止跨站请求伪造的功能 工作原理:客服端访问服务器,在服务端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器时,服务器会到客户端查找先前返回的字符串,如果找到则继续,找不到就拒绝。 访问流程:客户端 —> URL路由系统—> CSRF—> 视图函数 需要在客户端页面的post表单中添:{% csrf_token%}
DjangoCSRF中间件 'django.middleware.csrf.CsrfViewMiddleware',
weixin_33971130的博客
04-03 696
1、DjangoCSRF中间件的工作原理及form表单提交需要添加{% csrf_token %}防止出现403错误 CSRF # 表示django全局发送post请求均需要字符串验证功能:防止跨站请求伪造的功能工作原理:客户端访问服务器端,在服务器端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器端时,服务器端会到客户端查找先前返回的字符串,如果找到则继续,找...
Django进阶:CSRF源码分析,分页器,中间件,缓存,信号详解
Zijian Su的博客
03-04 434
文章目录引子CSRFCSRF是啥子玩意啊CSRF有啥作用中间件中间件是啥玩意中间件干啥用的自定义中间件缓存缓存是什么以及干啥的Django支持的缓存缓存的应用 引子 比如我想和我的某个同学去吃饭,但是我和他前面隔着好几排人,我要找到她,那我就得穿过这几排人 CSRF CSRF是啥子玩意啊 它叫防跨站请求伪造,之前很多同学刚初学Django,可能会直接把CSRF中间件给去掉,或者在表单上加个{% c...
django前后端结合_Django前后端分离,中间件CsrfViewMiddleware源码分析
weixin_30304423的博客
11-29 236
本文分析django前后端分离项目中关于csrf的token获取和验证的源码前后端分离项目获取token通过提前发起get请求,后端将token存储在cookie中,第二次post请求前端将token从cookie中放到请求头中,后端验证这两个值是否一致来避免csrf攻击,写的比较简单,见谅。django 1.11.22djangorestframework 3.9.4djangorestfra...
djangocsrf中间件
Poor - Because you have no ambition
08-14 310
Djangocsrf中间件 CSRF:跨站请求伪造Cross Site Request Forgery CSRF的攻击流程 用户a 访问可信站点1做业务处理,此时浏览器会保存该网站的cookie,当用户a 访问不可信站点2时,如果站点2有指向站点1的链接时候,那么攻击就用可能发生 Eg: 1、包含站点1的链接,点击跳转 2、img 的src属性值是站点1的链接 3、Js加载,js...
【15.0】Django框架之中间件引入
Chimengmeng的博客
07-18 210
【一】Django中间件介绍 【1】什么是Django中间件 Django中间件是一个轻量级、可重用的组件,用于处理Django请求和响应的过程。 它提供了对请求和响应进行全局处理的机制,可以在请求达到视图之前进行预处理或在响应返回给客户端之前进行后处理。 中间件是按照顺序依次执行的,每个中间件都可以对请求和响应进行修改、补充或处理。 在Django的settings.py配置文...
python middleware模块_详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击...
weixin_39864601的博客
12-10 230
一、在django后台处理1、将django的setting中的加入django.contrib.messages.middleware.MessageMiddleware,一般新建的django项目中会自带的。MIDDLEWARE_CLASSES = ['django.middleware.security.SecurityMiddleware','django.contrib.sessions...
Django中间件csrf
最新发布
m0_71115526的博客
11-23 452
django中间件django的门户1. 请求来的时候需要先经过中间件才能到达真正的django后端2. 响应走的时候最后也需要经过中间件才能发送出去# django支持程序员自定义中间件, 并且暴露给程序员五个可以自定义的方法# 掌握# 了解1. 在项目名或者应用名下创建一个任意名称的文件夹2. 在该文件夹内创建一个任意名称的py文件3. 在该py文件内需要书写类(注意: 这个类必须继承MiddlewareMixin)然后在这个类里面就可以自定义五个方法了。
关于django中间件CsrfViewMiddleware探究
LawssssCat的博客
12-07 1108
django中间件CsrfViewMiddleware源码分析探究csrf实现中文翻译DjangoWeb开发中关于CSRF的正确配置by Mr数据杨。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值