django中的Ajax请求中的跨站点请求伪造

最新推荐文章于 2024-05-04 10:59:12 发布
最新推荐文章于 2024-05-04 10:59:12 发布
阅读量165 收藏
点赞数
分类专栏: 个人笔记,不喜勿喷!! 文章标签: python django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29948297/article/details/107991647
版权

     对于Ajax请求来说,将CSRF令牌作为POST数据传递到每个POST请求中稍显不便。因此,Django允许利用CSRF令牌值在Ajax请求中设置自定义X-CSRFToken头。这可设置jQuery或者其他JavaScript库,并自动在每个请求中设定X-CSRFToken头。

为了在所有请求中包含令牌,需要执行下列各项步骤:

(1)从csrftoken Cookie中检索CSRF令牌,该令牌在CSRF处于活动状态时被设置。

(2)利用X-CSRFToken头在Ajax请求中发送该令牌。

关于CSRF和Ajax的更多信息,读者可访问:https://docs.djangoproject.com/zh-hans/2.2/ref/csrf/

示例:

<script src="https://cdn.bootcdn.net/ajax/libs/js-cookie/2.2.1/js.cookie.js"></script>
<script>
    var csrftoken = Cookies.get('csrftoken')
    function csrfSafeMethod(method){
        return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
    }

    $.ajaxSetup({
        beforeSend: function (xhr, settings) {
            if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
                xhr.setRequestHeader("X-CSRFToken", csrftoken);
            }
        }
    })

    // 你的ajax请求
   $(document).ready(function(){
    .......
    })
</script>

上述代码解释如下:

(1)此处从公共CDN中加载了JS Cookie,进而可方便地与Cookie交互。JS Cookie是一类处理Cookie的轻量级JavaScript。读者可访问https://github.com/js-cookie/js-cookie以了解更多内容。

(2)利用Cookies.get()读取csrftoken Cookie值。

(3)定义csrfSafeMethod()函数以检测HTTP方法是否安全。相应地,安全的方法并不需要使用CSRF保护--它们是GRT,HEAD,OPTIONS和TRACE。

(4)利用$.ajaxSetup()设置jQuery Ajax请求。在每个Ajax请求被执行之前,将检测请求方法是否安全,且当前请求不可跨域。若请求处于不安全状态,则利用从Cookie中获取的值设置XCSRFToken头。这一设置将应用于通过jQuery执行的全部Ajax请求。

CSRF令牌将包含在所有使用不安全HTTP方法(如POST,或者PUT)的Ajax请求中。

战南城
关注
专栏目录
django解决ajax请求问题
qq_41572228的博客
03-06 315
本地服务解决 pip install django-cors-headers 在settings文件设置 INSTALLED_APPS = [ ... 'corsheaders', # 注册app ... ] MIDDLEWARE_CLASSES = ( ... #尽可能靠前,必须在CsrfViewMi...
django处理ajax,使用AJAX获取Django后端数据
weixin_34266290的博客
08-05 1465
使用Django服务网页时,只要用户执行导致页面更改的操作,即使该更改仅影响页面的一小部分,它都会将完整的HTML模板传递给浏览器。但是如果我们只想更新页面的一部分,则不必完全重新渲染页面-这时候就要用到AJAX了。AJAX提供了一种将GET或POST请求发送到Django视图并接收任何返回的数据而无需刷新页面的方法。现代JavaScript包含fetch API,该API为我们提供了一种纯Jav...
Django如何防范CSRF站点请求伪造攻击的实现
09-19
主要介绍了Django如何防范CSRF站点请求伪造攻击的实现,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
ajax请求伪造
weixin_30664539的博客
11-14 210
ajax提交数据到后台: {#<!DOCTYPE html>#} <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <script src="/static/jquery-3.2.1.min.j...
ajax伪造登录,如何通过Ajax发布阻止站点请求伪造
weixin_28692867的博客
08-05 123
我在Mvc项目有一个AntiforgeryToken()值的表单。在提交表单时,它在MvC项目使用相应的控制器Post Action ValidateAntiforgeryToken进行验证。进入确认页面。在具有隐藏表单的两个按钮的确认,这将在上面的上一个进行相同的Post操作。我在这两个隐藏的表单添加了Html.Antiforgerytoken()。单击按钮时,我们不需要Form Po...
Django如何防范CSRF站点请求伪造攻击
Alex
08-02 435
CSRF概念 CSRF站点请求伪造(Cross—Site Request Forgery)。 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 CSRF攻击原理以及过程 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A...
Ajax站点请求伪造漏洞
03-22
Ajax站点请求伪造漏洞,近日,我们的网站请微软的工程师作了一次漏洞扫描,扫描结果有两个“站点请求伪造漏洞”。通过查资料,我做了一番研究,包括此漏洞的入侵条件,被攻击后的损失以及防范措施等。
django 返回ajax html,使用AJAXDjango获取数据的方法实例
weixin_42530458的博客
06-24 664
前言使用Django服务网页时,只要用户执行导致页面更改的操作,即使该更改仅影响页面的一小部分,它都会将完整的HTML模板传递给浏览器。 但是如果我们只想更新页面的一部分,则不必完全重新渲染页面-我们可以使用AJAX代替。AJAX提供了一种将GET或POST请求发送到Django视图并接收任何返回的数据而无需刷新页面的方法。 现代JavaScript包含fetch API,该API为我们提供了一种...
最新【Django网络安全】如何正确防护CSRF站点请求伪造_drf csrf
最新发布
2401_84281748的博客
05-04 915
CsrfViewMiddleware间件使用的情况下,通过间件的process_request方法获取请求cookie的csrftoken,通过process_view获取post、put、delete请求cookie的csrftoken和表单的csrfmiddlewaretoken并进行校验(不通过就是403),通过process_response设置cookie的csrftoken参数(需要登录)。主要是CSRF_USE_SESSIONS 和 CSRF_COOKIE_HTTPONLY参数。
Django间件介绍、自定义间件、csrf请求伪造
大大的博客
06-02 321
文章目录一、 Django间件介绍二、 自定义间件process_request(重点)process_response方法(重点)process_view方法(了解)process_exception方法(了解)process_template_response方法(了解)三、 间件的执行流程四、 间件版登录验证五、 CSRF_TOKEN请求伪造csrf使用csrf相关装饰器总结 一、 Django间件介绍 什么是间件? Middleware is a framework of hook
ajax请求自定义添加请求头token两种方式
总结前端开发中遇到的问题,分享前端知识
06-04 4568
$(function () { $.ajax({ type: 'GET', url: '/api', data: {}, dataType: 'json', beforeSend:function(xhr){ xhr.setRequestHeader("token","Basic "+"cGluZ2FuOjEyMzQ1Na=="); }, success:functi.
详解CSRF站点请求伪造
热门推荐
马儿不会飞
03-07 1万+
CSRF攻击: CSRF站点请求伪造(Cross—Site Request Forgery):大概可以理解为攻击者盗用了你的身份,以你的名义在恶意网站发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,甚至于购买商品、转账等。 例如:Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 CSRF攻击攻击原理及过程如下: 1.用户C打开浏览器,访问受信任网站A,输入用户名
Django 配置CSRF(站点请求伪造)保护
qq_39046786的博客
06-16 2609
Django 配置CSRF(站点请求伪造)保护 配置 在项目的setings.py文件 添加如下。 MIDDLEWARE = [ 'django.middleware.csrf.CsrfViewMiddleware', ] 请求伪造保护实现主要分为两步 第一步: Django 的 CSRF 保护要求请求的Referer 标头与标头存在的来源相匹配Host。例如,这可以防止针对 的POST请求subdomain.example.com成功api.example.com。如果您需要
站点请求伪造的处理方法
每天学习一点点
05-28 5000
使用安全软件对网站扫描后报出“站点请求伪造”的漏洞。
ajax 伪造请求,如何通过Ajax post防止站点请求伪造
weixin_35934037的博客
08-06 385
我在Mvc项目有一个带有AntiforgeryToken()值的窗体。当提交表格时,它将与MvC项目的相应控制器进行验证后行动ValidateAntiforgeryToken。如何通过Ajax post防止站点请求伪造?到确认页面。在具有隐藏表单的两个按钮的确认,这将会与前面的上述相同的Post操作进行。我在这两个隐藏表单添加了Html.Antiforgerytoken()。点击按钮时,...
Http站点请求伪造解决方案
程序猿开发日志【学习永无止境】
08-01 9255
1.站点请求伪造 首先,什么是站点请求伪造站点请求伪造-CSRF(Cross Site Request Forgery):是一种网络攻击方式。 说的白话一点就是,别的站点伪造你的请求,最可怕的是你还没有察觉并且接收了。听起来确实比较危险,下面有个经典的实例,了解一下站点请求伪造到底是怎么是实现的,知己知彼。 受害者:Bob 黑客:Mal 银行:bank bob在银行
$.ajax使用总结(二):伪造IP地址
甘焕的博客
06-20 6813
在JAVA与PHP的程序,为了保证IP的正确性,经常采用如下的方法获取浏览器端的IP地址,代码如下:String ip = request.getHeader("x-forwarded-for"); if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("
ajax可以伪造的头部信息
weixin_33709590的博客
03-22 474
2019独角兽企业重金招聘Python工程师标准>>> ...
Django使用Ajax组件的详细教程
Django使用Ajax,我们需要配置URL路由以处理这些异步请求。例如,创建一个名为Ajax_demo的项目,并在其添加一个app01应用。在urls.py文件,定义如下路由: ```python from django.contrib import admin ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值