Django —— csrf 验证问题

最新推荐文章于 2024-04-28 07:45:00 发布
最新推荐文章于 2024-04-28 07:45:00 发布
阅读量2.6k 收藏 3
点赞数
分类专栏: Django 文章标签: Django csrf ajax
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37049781/article/details/79280932
版权

关于 csrf 的基本了解

百度百科:CSRF(Cross-site request forgery)跨站请求伪造,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。通过伪装来自受信任用户的请求来利用受信任的网站。

简单来说就是攻击者盗用你的身份,以你的名义来发送恶意请求。比如说用户通过账号密码访问了网站A,A网站将一些cookie信息保存在浏览器中实现用户状态行为跟踪。这时用户又打开了B网站,B网站返回了一些恶意代码,并请求访问A。这样浏览器就会携带cookie以用户的权限访问A网站并执行代码。而在服务器看来,这些都是正常的用户操作。

在Django 中对csrf 的防范

Django中自带了防止csrf攻击的功能,但对于初学者来说可能不知道如何使用,并给自己带来些意外的麻烦。

例如:一个正常的表单提交操作却总是报错。

Django 中GET请求不需要csrf认证,post请求需要正确的认证才能得到正确的返回结果。
我们先处理一下对表单提交的 csrf 验证问题:一般在POST表单中加入{% csrf_token %}

<form method="POST" action="#">
{% csrf_token %}
	<input name='password' value='用户密码'>
</form>

加入了这句话后,再次提交post表单就不会出现问题了。
或者是另一个思路:禁用csrf
不过这样可能带来的危害你自己要想清楚了。
全局禁用:settings文件中找到关于csrf的中间件,直接注释。对于需要保护的视图加装饰器@csrf_protect。
针对性禁用:在表单提交的对应视图函数上加上一个装饰器 @csrf_exempt
关于csrf的装饰器官方文档:https://docs.djangoproject.com/en/2.2/ref/csrf/#module-django.views.decorators.csrf
对视图类使用装饰器:https://docs.djangoproject.com/en/2.2/topics/class-based-views/intro/#decorating-the-class

------------------------------------------------------------------
{% csrf_token %} 实际上是一个模板语法,将项目的token值写入到前端页面的表单中,这个值在建django项目时就已经自动生成,可以在setting中看到。
--------------------------------------------------------------------

下面再看一下Ajax调用时的处理方式

使用ajax与有开启csrf验证的视图进行交互时,需要确保ajax中能够获取到csrf token值
一 从当前html页面中获取token值(cookie也同时拥有token),如果是前后端分离,是没有这个的
二 如果从session 中获取 settings设置CSRF_USE_SESSIONS=True(token存储在session而不是cookie中)
三 如果从cookie 中获取 settings设置CSRF_COOKIE_HTTPONLY=False(默认)

Django提供了一个强制设置cookie的视图装饰器: ensure_csrf_cookie。

从cookie中获取token
function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = cookies[i].trim();
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');

// 通过使用JavaScript Cookie库替换以上代码可以简化getCookie:
// var csrftoken = Cookies.get('csrftoken');
从html中获取

如果csrf使用了session模式或者是禁止了cookie模式,需要从html中获取csrf token

<script type="text/javascript">
// using jQuery
var csrftoken = jQuery("[name=csrfmiddlewaretoken]").val();
// 如果是使用django模版的页面
// var csrftoken = '{% csrf_token %}'
</script>
在data中添加token发送
// 每个ajax中都需要传递csrfmiddlewaretoken
$.ajax({
    url: ,url
    type: "POST",
    data: {
        "username": username,
        "password": password,
        // 使用jQuery取出csrfmiddlewaretoken的值,拼接到data总
        "csrfmiddlewaretoken": csrftoken
    },
    success: function(data){
        console.log(data);
    }
})
在请求头上添加token发送

这样写可以不必为每个ajax的data中添加csrf token

function csrfSafeMethod(method) {
    // these HTTP methods do not require CSRF protection
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
    beforeSend: function(xhr, settings) {
        if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken);
        }
    }
});
何惜戈
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django——CSRF权限认证处理
胖大xian
02-08 600
CSRF权限认证 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 一、简单说明csrf如何操作 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经
Python——Django 框架——安全
Risk2S的小博客
07-12 1405
官方文档 https://docs.djangoproject.com/en/dev/#security Django提供了多种保护工具和机制; Xss(跨站脚本)保护: 使用Django模板可避免一部分, Django模板会转义 对HTML有危险的特定字符。这样可以保护用户免受多数恶意输入。 CSRF(跨站点请求伪造)保护: Django内置防范大多数类型的CSRF攻击,在适当的情况
Django中的CSRF保护机制:原理及如何使用?
最新发布
04-28 193
DjangoCSRF保护机制的原理是,当用户访问一个包含表单的页面时,Django会生成一个随机的CSRF令牌并将其存储在用户会话中。当用户提交表单时,Django验证表单中的令牌是否与用户会话中存储的令牌匹配。CSRF攻击是通过在用户浏览器上发送一个伪造的请求来实现的,请求中包含了用户在其他网站上的身份验证信息。这样,在提交表单时,Django验证请求中的CSRF令牌是否与用户会话中的令牌匹配。另外,如果使用 AJAX 来提交表单,可以将令牌作为请求的一个参数来传递,或者将其添加到请求头中。
Django-csrf认证
LL392810739的博客
10-19 145
一、csrf的应用场景,最简单的就是表单中的应用 班级信息 {% csrf_token %} {{ classobj.classname }}{{ classobj.errors.classname.0 }} 二、那接下来,什么是csrf呢? CSRF跨站点请求伪造(Cross—Site Request Forgery)。例如:别人盗用你的邮箱信息,发送恶意邮件,那么怎样防止诸如此类的攻击呢?主要有以下三种策略: 1、验证 HTTP Referer 字段 2、在请求地址中添加 token 并验证 3、
Django接收post请求报403(CSRF cookie not set)解决办法
洛城的博客
06-17 9801
按照restful接口风格,新建资源的接口请求方式应为post,结果发了post请求给django之后,报了个403forbidden。 打印了里面的text内容,发现里面提到了“CSRF cookie not set”,这个的解决办法就是在setting.py文件中注释: 'django.middleware.csrf.CsrfViewMiddleware', 这个中间件是为了防止跨站请求...
Cookie设置HttpOnly,Secure,Expire属性
热门推荐
怀揣梦想,努力前行
05-29 8万+
eclipese中创建Web工程时,有个
WEB跨站脚本和cookie(httponly-cookie设置)安全了解
mike_caoyong的专栏
11-24 7909
【常见Web应用安全问题】 Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全性问题的列表:   1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人
解决django中ModelForm多表单组合的问题
09-19
总的来说,处理Django中的多表单组合问题,主要是通过创建多个ModelForm或Form类,然后在视图中分别实例化和验证这些表单。在模板中,可以使用多个表单对象渲染表单,并在提交时分别处理。通过这种方式,可以实现对...
Django解决Ajax中post提交数据403的代码
09-15
这个问题是由于Django的安全机制——跨站请求伪造(Cross-Site Request Forgery,简称CSRF)防护导致的。本文将详细介绍如何解决这个常见的Django Ajax问题。 **1. CSRF保护机制** Django内置了CSRF保护,目的是...
数据库课程设计——论坛系统
01-16
【数据库课程设计——论坛系统】是一项综合性的学习任务,旨在让学生掌握数据库管理和Web开发的核心技能。在这个项目中,我们利用Python的Django框架构建了一个功能丰富的论坛系统,它提供了多种用户交互功能,如...
DJango专栏015阶段的源码
08-02
在本压缩包“DJango专栏015阶段的源码”中,我们主要探讨的是Django框架的一个特定学习阶段——第15阶段的代码实现。Django是Python Web开发领域中一个非常流行的开源框架,以其高效、简洁和可扩展性而受到广大...
Python开发工程师学会用 Django 框架实现功能方法实现.zip
05-21
Django是基于MTV(Model-Template-View)模式的Python Web框架,它提倡“干(DRY)原则”——Don't Repeat Yourself,旨在简化开发过程并提高代码复用性。在Model部分,Django提供了强大的ORM(对象关系映射)工具,...
csrf 出现的原因 cookie的http only 为true
qq_45549245的博客
02-02 266
=====================
Tomcat为Cookie设置HttpOnly属性
学习记录和开发记录
07-20 2万+
A:Tomcat 中维持Java webapp的Http会话是以Cookie形式实现的存储在服务端用户状态信息的; B:服务端可以自定义建立Cookie对象及属性传递到客户端; 服务端建立的Cookie如果没有设置HttpOnly属性,则在客户端可以用js读取Cookie中的内容(客户端脚本可以读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击); 方法:
Djangocsrf-token验证原理
bocai_xiaodaidai的博客
09-19 2374
众所周知,django通过CsrfViewMiddleware中间件来下发和校验csrf-token有效性的。 那么,这个中间到底是怎么实现token校验的呢? 首先,django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 csrftoken,并把这个 csrftoken 放在 cookie 里。然后每次 POST 请求都会带上这个 csrftoken。(这个csrftoken的有效期非常长(52周)) 在前后端不分离的django项目中,可以通过{%csrf_token%}标签在表
django免除csrf校验
qq_42486675的博客
07-15 1万+
django中默认启动csrf校验,当用户发起post请求时,必须携带csrf_token参数。如果不想使用csrf校验时,可以使用以下方式免除校验。以下方式都是在局部中使用,如果想全局禁用时,需要在settings文件中配置,这种方式不推荐使用。
Django学习记录之——csrf跨站请求伪造校验
wcy的博客
06-04 397
文章目录csrf跨站请求伪造csrf跨站请求伪造校验django完成csrf校验form表单校验ajax进行校验csrf装饰器FBVCBV csrf跨站请求伪造 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出
Django的POST请求时因为开启防止csrf,报403错误,及四种解决方法
weixin_34050519的博客
09-29 1605
Django默认开启防止csrf(跨站点请求伪造)攻击,在post请求时,没有上传csrf字段,导致校验失败,报403错误 解决方法1: 注释掉此段代码,即可。 缺点:导致Django项目完全无法防止csrf攻击 解决方法2: 在views.py文件中 #导入,可以使此次请求忽略csrf校验 from django.views.decorators.csrf import...
如何解决DjangoCSRF问题
谭小谭的专栏
11-28 1714
  CSRF是什么? CSRF(Cross Site Request Forgery,跨站伪造请求)。举个例子来简单介绍下。有A、B两个web网站,其中A网站存在CSRF漏洞,B网站是攻击者特意设计成一个具有CSRF攻击性的网站,C为一普通用户,当用户C在浏览器中登录A网站后,A网站会将用户的登录信息如cookie返回并保存在浏览器,如果用户C在浏览器中再访问B网站,B网站会诱导用户C执行一个...
djangocsrf的实现机制
06-10
Django中的CSRF(Cross-Site Request Forgery)机制可以防止跨站点请求伪造攻击。DjangoCSRF机制的实现基于以下两个元素: 1. CSRF令牌:每个表单都会包含一个隐藏的CSRF令牌,这个令牌是服务器随机生成的,并且只能在表单提交时使用。在表单提交时,这个令牌会被发送到服务器,并且服务器会验证这个令牌是否有效,如果无效则拒绝请求。 2. CSRF中间件:Django中内置了一个CSRF中间件,该中间件会在每个POST请求中验证CSRF令牌的有效性。如果CSRF令牌无效,则会抛出一个异常,拒绝请求。在使用Django的Form表单和Ajax请求时,这个中间件会自动加入CSRF令牌。 具体来说,DjangoCSRF机制的实现过程如下: 1. 当用户访问包含表单的页面时,服务器会生成一个CSRF令牌,并将其存储在用户的会话中。 2. 当用户提交表单时,CSRF令牌会随表单一起提交到服务器。 3. 服务器在接收到表单请求时,会验证CSRF令牌的有效性。如果令牌无效,则拒绝请求。 4. 验证成功后,服务器会处理表单数据,并返回响应。 需要注意的是,在使用Ajax请求时,CSRF令牌需要手动添加到请求的头部中。可以通过Django提供的csrftoken模板标签来获取CSRF令牌,并将其添加到请求头部中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值