Ajax 使用CSRF token与Flask /Django交互

已于 2022-09-03 21:48:10 修改
阅读量368 收藏
点赞数
分类专栏: Python 文章标签: flask django ajax
于 2022-09-03 21:47:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32827997/article/details/126682982
版权
本文介绍了CSRF攻击原理及其防御方法,重点讲解如何利用Ajax结合Token进行CSRF防御。阐述了服务器如何通过生成Token并验证来防止攻击,并提供了两种在Ajax请求中实现Token验证的方法,包括通过meta标签和隐藏input字段传递Token。
摘要由CSDN通过智能技术生成

跨站请求伪造也被称为one-click attack 或者 session riding,通常缩写为CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。目前主流的防御方法就是通过Token验证,另外如果前端对存在CSRF防御的服务进行请求,会出现”400 bad request“。在写程序时有时候会让忽略CSRF问题的人莫名其妙,我就是错了好几次(我以为是我的数据格式的问题),看到了浏览器Console才恍然大悟。

1. CSRF攻击原理

当我们登录访问一个网站,登录后需要访问不同页面,服务器为了记住我们已经登录的身份,会把我们的状态临时储存在session中,并且将session_id发送给客户端存储于cookie中,由于网站是通过检查cookie中是否存在合法且匹配的session_id,来使用户保持登入状态。

这样就会出现一个问题,当用户在登录的状态下,被诱导访问了黑客的网站,黑客的网站设置一个骗你点击的页面,比如抽红包,用户点了抽奖按钮,抽奖按钮其实是指向一个交易接口的链接,这就可以伪造客户的身份,在客户不知情的情况下做一些事请。

2. 防御CSRF原理

比如服务器接受到访问存在某个表单的请求,服务器在回传这个表单之后会根据某种规则生成一个字符串一同传送给客户端,当用户操作完准提交表单,这个字符串会被一起提交给服务器,服务器验证这个字符串是否合法再做出反应。这个字符串就是Token。

3. Ajax使用Token完成CSRF防御验证

方法一

首先在你的获得数据的HTML页面创建一个 meta 标签用于接受Flask或者Django传过来的Token。

    <meta name="csrf-token" content="{
    { csrf_token() }}
最低0.47元/天 解锁文章
【python】深入探讨flask是如何预防CSRF攻击的
景天科技苑
03-29 1万+
详述CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 攻击者通过HTTP请求将数据传送到服务器,从而盗取回话的cookie。盗取会话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息。 flask可以通过第三方插件轻松预防CSRF攻击,本文详细阐述这个。
Python学习笔记:6.3.11 csrf攻击与防范
元文的博客
02-17 407
简介:讲解了什么是CSRFflask中如何使用表单的CSRF保护以及AJAXCSRF保护等内容
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。 教你如何在AJAX请求上设置令牌。
ajax csrf php,JQueqy Ajax使用(POST\GET请求 csrf_token)
weixin_42442651的博客
03-29 180
一,Ajax GET请求和POST请求知识点1,GET请求不用添加 {% csrf_token%} ,也不会报csrftoken的错2,POST请求的话,就需要添加{% csrf_token%} 标签, 而且要使用$.ajax() 方法,将token传递到服务端3,传递过去就行了,后台自动会处理,无需用手工处理这个token二,以下是代码示例以下是index.html代码示例(里面有使用aja...
Flask框架在Ajax请求中开启CSRF保护
kikaylee的专栏
03-19 3328
前面Flask学习总结笔记(5)– Form表单中对表单提交中开启CSRF保护进行了详细讲解。虽然Ajax不同于表单提交,但是我们同样可以手动利用相同的办法,开启CSRF保护。
flaskajaxcsrf代码
weixin_42218868的博客
08-08 790
1、ajax前端代码 Ajax本身是一门独立的技术,是实现前后端数据分离的一种措施,实现了局部请求, 所以ajax本身的代码不会因为后端框架变化而变化,变化的只有接口。以注册的用户 名重复作为校验。 ajax语法: 先根据id离焦或聚焦等事件触发js,声明路由和传参,post请求要在传递的参数里添加“csrf_token:'{{csrf_token}}'” 然后写ajax的固定语法 $.ajax(...
django使用ajax提交需要csrf,djangoAjax请求中提交csrfToken
weixin_30478241的博客
08-06 569
django使用ajax请求响应,如果后使用的是视图方法最简单的是用在方法前引用@csrf_exempt装饰器就行了,但是如果我们使用的是视图类总是报path('farmer/taskdelete/',TaskDeleteFarmerView.as_view(),name='taskdelete_framer')AttributeError: 'function' object has no a...
Django:Ajaxcsrf_token
HR_tigerking的博客
12-20 1003
起因:Ajax提示403错误 闲言碎语:据课程结束还有一周多,js杀我,要加油加油。 CSRF(Cross Site Request Forgery protection),中文简称跨站请求伪造。 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局...
django ajax关于csrf_token
shihaizi的专栏
04-09 1242
djangoajax POST提价过程常常会出现403错误的解决 var myInit{ getCookie : function(name) { var cookieValue = null; if (document.cookie && document.cookie != '') { var cookies = document.cookie.split(';');
Python DjangoCSRF攻击,CSRF防御
houyanhua1的专栏
12-14 424
  项目名/settings.py(项目配置,csrf中间件配置): MIDDLEWARE_CLASSES = ( 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.Cs...
Web开发基础:FlaskDjango入门
在众多的Web开发框架中,FlaskDjango作为Python最流行的两个框架备受开发者关注。 ## 1.1 什么是Web开发 Web开发是指利用各种Web技术,构建网站和Web应用的过程。它涵盖了前端开发、后端开发、数据库管理等多个...
Web开发中的Python函数应用:FlaskDjango视图函数优雅编写法
[Web开发中的Python函数应用:FlaskDjango视图函数优雅编写法](https://www.delftstack.com/img/Python Flask/ag feature image - flask post request.png) # 1. Web开发与Python函数基础 ## 1.1 理解Web开发与...
ajax请求中 两种csrftoken的发送方法
weixin_30612769的博客
12-16 159
通过ajax的方式发送两个数据进行加法运算 html页面 <body> <h3>index页面 </h3> <input type="text" name="cal_1">+ <input type="text" name="cal_2">= <input type="text" name="cal_3">...
flask项目之4:csrf验证与相关防护措施
LCY133的博客
12-15 280
CSRF验证:http://blog.csdn.net/wireless911/article/details/81589202 从cookie中获取csrf_token的值 从请求体中获取csrf_token的值 如果两者相同就可以继续进行,异常就不进行验证 同源策略: 同源的网站才可以操作资源, ...
Django,flask的jwt的token认证
dreams_dream的博客
05-15 765
django flask token生成
Flaskcsrf_token的用法
Allen . Liu
09-23 2720
flask当中,flask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全。 Csrf是针对与post请求的跨域限制,get请求没有作用 csrf_token的开启 在flask中开启csrf保护 from flask_wtf.csrf import CsrfProtect CsrfProtect(app) csrf也支持惰性加载 f...
Flask form表单和ajax开启CSRF保护
qq_35549440的博客
08-11 1352
 不要把HTML文件放在static,不然密钥无法获取。测试不行记得清缓存。 1. form表单开启需要2步  首先在启动文件加入 CSRFProtect(app) from flask import Flask from flask.ext.bootstrap import Bootstrap #定义app对象 app=Flask(__name__) #开启保护 from flask_...
关于 django ajax csrftoken
ck07
02-27 478
若不想把js写在模版中可以用如下方法:    event.preventDefault(); data=$("#verifyPersonForm").serialize() $.ajax({                 url: "/usercenter/authentication/",                 type: "post",
django csrftoken ajax
03-10 1434
// AJAX请求,获取csrftoken $.ajaxSetup({ beforeSend: function(xhr, settings) { function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !
FlaskDjango中解决跨域请求问题
willbkimps的博客
06-12 1526
Flask解决跨域 下载flask_cors包pip install flask-cors 使用flask_cors的CORS,代码示例from flask_cors import * app = Flask(__name__) CORS(app, supports_credentials=True) Flask-CORS文档: https://flask-cors.readthedo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值