17-Django的csrf防护

最新推荐文章于 2022-04-16 00:44:01 发布
最新推荐文章于 2022-04-16 00:44:01 发布
阅读量140 收藏
点赞数
分类专栏: Django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34788903/article/details/87924312
版权

在网站开发的时候,有些页面是用户登录之后才能访问(比如修改密码页面),加入用户访问了这个地址,需要进行登录判断。如果用户已经登录可以进行后续操作,如果没有登录,跳转到登录页。

再次理解装饰器,登录装饰器

def login_required(view_func):#装饰器其实就是函数的引用,这个view_func就是函数名
    '''登录判断装饰器'''
    def wrapper(request,*view_args,**view_kwargs):
        #判断用户是否登录
        if request.session.has_key('islogin'):
            #用户已经登录,调用对应的视图
            view_func(request,*view_args,**view_kwargs)
        else:
            return redirect('/login')
    return wrapper

装饰器其实就是函数的引用,想下面:

login_request(view_func)

其实等价与

@login_request
view_func(){
.......
}

最上面那个例子,就是登录装饰器,这样的话,登录判断就不用写在视图里面了,简化了视图函数.哪个函数需要判断是否登录,直接用这个装饰器装饰就可以了.



csrf跨站请求伪造

伪造成功关键点:

1.登录正常网站之后,你的浏览器保存了sessionid,并且你没有退出

2.当你不小心访问了另外一个网站,并且你还点击的页面上的东西

Django默认启动了csrf防护,在setting.py里

MIDDLEWARE_CLASSES = (
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware', #csrf防护
        'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'django.middleware.security.SecurityMiddleware',
)

这个防护只针对post提交.如果post提交不做任何处理,就会出现Forbidden(403)错误.
这个时候,所有的post提交都要加上{% csrf_token %}

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>修改密码页面</title>
</head>
<body>
<form action="change_pwd_action" method="post">
    {% csrf_token %}
    新密码:<input type="password" name="pwd">
    <input type="submit" value="确认修改">
</form>
</body>
</html>

csrf防护原理

1.渲染模板文件的时候在页面生成一个名字叫做csrfmiddlewaretoken的隐藏域
2.服务器交给浏览器保存一个名字为csrftoken的cookie信息
3.提交表单的时候,两个值都会发送给服务器,服务器进行比较时,如果一样,则csrf验证通过,否则失败.

SpecYue
关注
专栏目录
django框架CSRF防护原理与用法分析
09-19
### Django框架CSRF防护原理与用法分析 #### 一、什么是CSRF? **CSRF**(Cross-site request forgery,跨站请求伪造)是一种常见的安全攻击手段,它利用已认证用户的浏览器来发起针对Web应用程序的恶意操作。这种...
spring security webflux 跨域防护
weixin_43931625的博客
06-06 1816
springsecuritywebFlux跨域防护
【基本功】 前端安全系列之二:如何防止CSRF攻击?
美团技术团队
10-11 3661
总第290篇2018年 第82篇当当当当,我是美团技术团队的程序员鼓励师美美~“基本功”专栏又来新文章了,本篇是我们前端安全系列文章的第二篇,主要聊聊前端开发过程中遇到的...
CSRF攻击原理和防护措施讲解
阿飞
04-16 3804
CSRF(Cross Site Request Forger)跨站请求伪造详细讲解
json csrf html5,本地存储-使用JSON Web令牌的CSRF保护
weixin_33312000的博客
06-28 121
严格来说,是的,存储在本地/会话存储(我称为HTML5存储)中的任何内容都可能在跨站点脚本(XSS)攻击中被盗。 请参阅本文。但是,有很多移动部件要考虑。首先,在JavaScript访问方面,HTML5存储和cookie的范围存在细微的差异。HTML5存储是:分为http和https。 运行在secure上的JavaScript无法访问存储在httpOnly HTML5存储中的项目。在子域之间划分...
CSRF的攻击与防御
Java/Android/IOS/前端/云计算
10-22 2879
发布时间:2012年08月28日 分享 推荐打印收藏 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
Django CSRF跨站请求伪造防护过程解析
09-18
Django框架提供了一套强大的CSRF防护机制,以防止这种攻击。 在Django中,CSRF防护主要通过以下步骤实现: 1. **生成CSRF令牌**:Django会在每个用户会话开始时生成一个唯一的CSRF令牌,并将其存储在用户的session...
详解DjangoCSRF认证实现
09-20
Django框架内置了CSRF防护机制,通过使用CSRF中间件(CsrfViewMiddleware)来确保POST、PUT、DELETE等修改数据的请求是安全的。DjangoCSRF保护主要分为以下几个步骤: 1. **CSRF中间件**:在Django的设置文件中,...
djangocsrf实现机制
qq_41373975的博客
03-09 1435
1)启用中间件 2)post请求 3)验证码 4)表单中添加{% csrf_token%}标签 Django 原生支持一个简单易用的跨站请求伪造的防护。当提交一个启用CSRF 防护的POST 表单时,你必须使用上面例子中的csrf_token 模板标签。 #第一步:django第一次响应来自某个客户端的请求时,后端随机产生一个token值,把这个token保存在SESSION状态中;同时,后端把这...
13-Django的ajax请求,同步异步,登录案例,静态文件路径
spec_yue
02-24 1942
ajax 异步的JavaScript,在不重新加载页面的情况下,对页面进行局部的刷新 $.ajax({ 'url':请求地址 ‘type’:请求方式 ‘dataType’:预期返回的数据格式,一般是json ‘data’:传递的参数 }).success(function(data){ //执行成功之后的回调函数 }) 浏览器前端通过ajax发起请求,Django后台返回json数据r...
07-Django简易搭建一个图书信息网站
spec_yue
02-21 1289
创建Django项目,将数据库改为mysql,修改项目的urls.py文件 创建一个新应用,在应用里创建urls.py文件。 在应用的models.py里建表 from django.db import models # Create your models here. #一类 class BookInfo(models.Model): btitle=models.CharField(m...
解决Django后台管理admin向数据库插入中文出现错误问题
spec_yue
03-13 1233
首先确定一点,出现这种问题原因是创建的数据库不支持中文 解决办法 1.CREATE DATABASE 数据库名DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;(直接创建一个支持utf-8的数据库) 2.如果你原来就建好的数据库,不想重新建 ALTER DATABASE db_name DEFAULT CHARACTER SET utf8 COL...
跨表查询
spec_yue
03-27 895
模型类 from django.db import models # Create your models here. class Author(models.Model): nid = models.AutoField(primary_key=True) name = models.CharField(max_length=32) age = models.Integ...
12-Django普通登录案例-POST方法
spec_yue
02-23 780
1.显示登录页面 a.设计url,通过浏览器访问http://127.0.0.1:8000//login的时候现实登录页面 b.设计url对应的视图函数 c.编写模板文件login.html 2.登录校验功能 校验数据库中有没有这个用户,这里用模拟的伪校验 新建login.html 在templates文件夹下的booktest文件夹下新建 &lt;!DOCTYPE html&gt; &lt;ht...
21-Django中间件(禁止IP案例)
spec_yue
02-27 729
中间件 中间件函数是Django框架预留的函数接口,让我们可以改动请求的应答的过程 获取浏览器端的ip地址,禁止ip 使用request对象的META属性:request.META['REMOTE_ADDR'] 禁止某些ip: EXCLUDE_IPS = ['127.0.0.1'] def index(request): '''首页''' # 获取浏览器端的ip user_...
23-在pycharm下使用Django框架链接mysql数据库图形化界面
spec_yue
03-04 617
模型函数,新建表 from django.db import models # Create your models here. class Empoyee(models.Model): name = models.CharField(max_length=16) age = models.IntegerField() salary = models.IntegerFi...
11-Django视图_url匹配的过程和404,500和捕获url参数
spec_yue
02-23 512
视图的功能 接受请求,进行处理,与M和T进行交互,返回应答 返回html内容HttpResponse,也可以重定向redirect 视图函数的使用 1.定义视图函数 request参数必须要有,是一个HttpRequest类型对象,参数名字可以变化,但是不要更改 2.配置url 建立url和视图函数之间的关系 url配置过程 1.在项目的urls文件中包含具体应用的urls文件,在具体应用的url...
22-Django上传图片(后台管理上传和用户自己上传)
spec_yue
02-27 484
用户自己上传 项目的setting里面配置MEDIA_ROOT = os.path.join(BASE_DIR,'static/media') #设置上传文件的保存目录 在static文件夹里新建media文件夹 写上传的html的页面 &lt;!DOCTYPE html&gt; &lt;html lang="en"&gt; &lt;head&gt; &lt;meta charset="...
10-Django模型管理器对象
spec_yue
02-23 450
管理器 BookInfo.objects.all()的这个objects是Django自动生成的管理器对象,通过这个管理器可以实现对数据的查询 from django.db import models # Create your models here. class BookInfoManger(models.Model): # 模型管理器类 def all(self):#...
Django CSRF保护机制深度解析
为了防止这种情况,CSRF防护机制引入了令牌(token)的概念。在用户发送POST、PUT或DELETE请求之前,先以GET方式获取一个随机的CSRF令牌,然后在后续的请求中携带该令牌,服务器通过验证这个令牌来确认请求的合法性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值