Django 配置CSRF(跨站点请求伪造)保护

最新推荐文章于 2024-01-28 22:05:49 发布
最新推荐文章于 2024-01-28 22:05:49 发布
阅读量2.5k 收藏 6
点赞数
分类专栏: Django vue学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39046786/article/details/117960721
版权

Django 配置CSRF(跨站点请求伪造)保护

配置

在项目的setings.py文件中 添加如下。 

MIDDLEWARE = [
  
    'django.middleware.csrf.CsrfViewMiddleware',

]

跨域请求伪造保护实现主要分为两步

第一步:

Django 的 CSRF 保护要求请求的Referer 标头与标头中存在的来源相匹配Host。例如,这可以防止针对 的POST请求subdomain.example.com成功api.example.com。如果您需要通过 HTTPS 的跨源不安全请求,继续示例,添加"subdomain.example.com"到此列表。该设置还支持子域,因此您可以添加".example.com" 

CSRF_TRUSTED_ORIGINS  =  [ 
    'change.allowed.com' , 
]

Referer 即是打开当下链接的页面的域名

跨域攻击只能直接跳转或者 < form>提交,正常情况是不能伪造Referer的 服务端只要获取到Referer 校验是否合法链接即可,当然这是不能百分百保证的,Referer 的值是由浏览器提供的,虽然 HTTP 协议上有明确的要求,但是每个浏览器对于 Referer 的具体实现可能有差别,并不能保证浏览器自身没有安全漏洞。所以需要第二步来同时保证。

第二步:

通过csrf_token的方式解决,Django会产生在前端HTML页面产生一段随机的字符串即csrf_token,然后通过from表单的形式提交发送到后台,csrf中间件会验证随机字符串是否存放在了form表单当中,根据接收到的随机字符串验证这是否为一个安全的提交。

<form action="/login/" method="post">
        {% csrf_token %}
        <input type="text" name="user" />
        <input type="text" name="pwd" />
        <input type="submit" value="提交" />
    </form>

如图所示 提交时将会发送csrfmiddlewaretoken 给后台

image-20210615153043265

如果是异步请求,我们访问后台接口的时候应在头部信息中传入 csrf_token ,如下所示,先从cookie中获取csrftoken,然后设置请求头,调用接口

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="/login/" method="post">
    <input type="text" name="user" />
    <input type="text" name="pwd" />
    <input type="submit" value="提交" />
    <input id="btn" type="button" value="按钮">
</form>

<script src="http://libs.baidu.com/jquery/2.0.0/jquery.js"></script>
<script src="https://lf3-cdn-tos.bytecdntp.com/cdn/expire-1-M/jquery-cookie/1.4.1/jquery.cookie.js"></script>
<script>
    var csrftoken = $.cookie('csrftoken');
    console.log(csrftoken)
    $(function () {
        $('#btn').click(function () {
            console.log(csrftoken)
            $.ajax({
                url:'/login/',
                type:"POST",
                data:{'username':'root','pwd':'123123'},
                headers:{'X-CSRFToken':csrftoken},
                success:function (arg) {

                }
            })
        })
    })
</script>
</body>
</html>

Django 只要开启CSRF(跨站点请求伪造)保护,每次请求都会在返回的cookie中带有csrftoken

如图所示
在这里插入图片描述

前后端分离项目时

例如一个登录页面,前端技术栈vue+elementUi,后端采用Django

要实现CSRF(跨站点请求伪造)保护 大致分为3步

第一步 获取页面的cookies中csrf的值

这里写了一个util.js 文件,他的作用是根据传入的key 获取cookies中的value,代码如下

export const getCookie = name => {
  var strcookie = document.cookie// 获取cookie字符串
  var arrcookie = strcookie.split('; ')// 分割
  // 遍历匹配
  for (var i = 0; i < arrcookie.length; i++) {
    var arr = arrcookie[i].split('=')
    if (arr[0] === name) {
      return arr[1]
    }
  }
  return ''
}

第二步 编写一个api.js负责发送异步请求 并将csrftoken 加入post请求的请求头

import axios from 'axios'
import Qs from 'qs'
import {getCookie} from '../util/util'
axios.defaults.baseURL = 'http://127.0.0.1:8000'

export const login = params => {
  // 这里获取了Django通过cookies返回给前端的csrftoken的值
  let csrftoken = getCookie('csrftoken')
  let data = Qs.stringify(params)
  return axios.post('/testPlatform/signin/', data, {
    headers: {'Content-Type': 'application/x-www-form-urlencoded', 'X-CSRFToken': csrftoken}
  })
}

如图所示 一进入登录页面 就获取到了cookies
在这里插入图片描述

第三步 实现登录页面点击提交发送登录请求

<template>
  <div class="loginIndex" style="overflow-y:hidden">
  <el-form
    class="login-container"
    ref="AccountForm"
    :model="account"
    :rules="loginRules"
    label-position="left">
    <h3>Login</h3>
    <el-form-item prop="username">
      <el-input
        v-model="account.username"
        type="text"
        placeholder="账号">
      </el-input>
    </el-form-item>
    <el-form-item prop="password">
      <el-input v-model="account.password" type="password" placeholder="密码"></el-input>
    </el-form-item>

    <el-form-item>
      <el-button @click.native.prevent="handleLogin" :loading="logining" type="primary">login</el-button>
      <el-button
        type="primary"
        class="resetBtn"
        @click.native.prevent="reset">
        reset
      </el-button>
    </el-form-item>

  </el-form>
  </div>
</template>

<script>
import {login} from '../axios/api'

export default {
  name: 'login',
  data () {
    return {
      account: {
        username: '',
        password: ''
      },
      loginRules: {
        username: [{required: true, message: '请输入账号', trigger: 'blur'}],
        password: [{required: true, message: '请输入密码', trigger: 'blur'}]
      },
      logining: false
    }
  },
  methods: {
    handleLogin () {
      this.$refs.AccountForm.validate((valid) => {
        if (valid) {
          this.logining = true
          let loginParams = {
            username: this.account.username,
            password: this.account.password
          }
          // 调用axios登录接口
          login(loginParams).then(res => {
            // debugger;
            this.logining = false
            // 根据返回的ret判断是否成功
            let { ret, user, msg, expiry } = res.data
            if (ret === 0) {
              // elementui中提示组件
              this.$message({
                type: 'success',
                message: '登陆成功'
              })
              // 登陆成功,用户信息就保存在localStorage中
              localStorage.setItem('user', user)
              localStorage.setItem('expiry', expiry)
              // 跳转到后台主页面
              this.$router.push({ path: '/home' })
            } else {
              this.$message({
                type: 'error',
                message: msg
              })
            }
          }).catch(err => {
            console.log(err)
          })
        } else {
          console.log('error submit!')
          return false
        }
      })
    },
    reset () {
      this.$refs.AccountForm.resetFields()
    }
  }
}
</script>

<style scoped>
  body{
    background: #DFE9FB;
  }
  .login-container {
    width:350px;
    margin-left:40%;
    border: 1px solid #d3d3d3;
    box-sizing: border-box;
    padding: 10px 30px;
    border-radius: 5px;
    margin-top: 100px;
  }
  .el-button {
    width:100%;
    box-sizing: border-box;
    margin: 10px 0;
  }

</style>

此时,点击登录就会携带csrf登录成功了
在这里插入图片描述

testerzzz
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DjangoCSRF中间件 ‘django.middleware.csrf.CsrfViewMiddleware
weixin_42213622的博客
10-09 1096
文章目录1 csrf中间件功能及原理 1 csrf中间件功能及原理 CSRF # 表示django全局发送post请求均需要字符串验证 功能:防止请求伪造的功能 工作原理:客服端访问服务器,在服务端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器时,服务器会到客户端查找先前返回的字符串,如果找到则继续,找不到就拒绝。 访问流程:客户端 —> URL路由系统—> CSRF—> 视图函数 需要在客户端页面的post表单中添:{% csrf_token%}
Django - CSRF(Cross-site request forgery 请求伪造
LIN的博客
11-23 353
目录 一、CSRF(Cross-site request forgery 请求伪造) 1-1 CSRF 攻击原理 1-3 CSRF 攻击防范方式(主流的三种策略)  1-3-1 验证HTTP Referer 字段 1-3-2 在请求地址中添加token并验证 1-3-3 在 HTTP 头中自定义属性并验证  二、 Django中的CSRF防范 - 中间件csrf_token的使用...
Django CSRF 说明与配置
wanglei_storage的博客
12-21 3474
Django 默认对GET请求不做CSRF防御机制 Django 只对POST请求CSRF防御机制 一、CSRF是什么 CSRF 全称(Cross Site Request Forgery)请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。你可以这样理解:攻击者(黑客,钓鱼网站)盗用了你的身份,以你的 名义发送恶意请求,这些请求包...
在内部局域网只能使用IP访问的电脑中利用宝塔面板部署Django项目,如何解决CSRF验证问题?
一个生活在临武县城的Python语言工程师
12-04 1365
在你的 Django 模板中的表单标签内包含。这会自动处理 CSRF token 的生成和验证。: 如果你的 Django 项目版本是 3.0 以上,需要在文件中添加内网 IP 地址到列表中,例如:这里假设是你内网中访问 Django 项目的 IP 地址。如果你的局域网中有多个子域,可以使用通配符来匹配。: 确认MIDDLEWARE配置中包含。如果没有,请添加它。: 由于你是通过 IP 地址而非域名访问应用,可能不需要设置或者设置为None(默认值)。
django发送Ajax请求数据返回403
HHYZBC的博客
05-27 1395
django中,使用Ajax直接发送数据返回403原因是django自带了一个防止请求伪的功能,使用表单发送数据时在表单下面使用csrf_token标签即可,而使用Ajax发送post请求时,csrf_token标签是不会起作用的。其解决方法是:在处理改请求的函数前面加上叫做csrf_exempt的装饰器,作用是该url所发送的post请求不再防止请求伪。 @csrf_exempt def task_ajax(request): print(request.POST) data
Django4.0新特性-主要变化
SteveRocket's-Blog
03-18 1686
Django 4.0 release notes
Django中间件解析
bocai_xiaodaidai的博客
03-20 1389
一、什么是中间件? 官方的说法:中间件是一个用来处理Django请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。 每个中间件组件都负责做一些特定的功能。但是由于其影响的是全局,所以需要谨慎使用,使用不当会影响性能。 说的直白一点中间件是帮助我们在视图函数执行之前和执行之后都可以做一些额外的操作,它本质上就是一个自定义类,类中定义了几...
Django中如何防范CSRF站点请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF站点请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
django-csrf使用和禁用方式
12-20
总之,DjangoCSRF保护机制是防止请求伪造攻击的重要手段,正确地使用和配置CSRF保护可以极大地增强你的Web应用的安全性。在禁用或局部控制CSRF时,一定要权衡安全性和功能性的需求,确保不会引入额外的安全...
详解DjangoCSRF认证实现
12-24
CSRF, Cross Site Request Forgery, 站点伪造请求。举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发...
django中间件CSRF
majiayu000的博客
06-15 190
在前后端分离的项目中,经常会遇到csrf forbidden这种情况。这时候需要在中添加一些配置
k8s部署Django项目换了域名后出现Forbidden (403) CSRF verification failed.错误
weixin_44806146的博客
06-28 607
解决k8s部署Django项目换了域名后出现Forbidden (403) CSRF verification failed.错误
django 访问后台数据库管理程序报错:CSRF verihcation failed. Request aborted.
最新发布
qq_42902997的博客
01-28 750
【代码】django 访问后台数据库管理程序报错:CSRF verihcation failed. Request aborted.
DjangoCSRF防御全过程解析以及中间件作用机制
Deft_MKJing的博客
05-21 2420
前言 XSS和CSRF攻击的基础原理这里就不介绍了,之前写了一篇文章单独介绍的很详细了,传送门,这里我们直接以Django为分析对象,分析中间件csrf生成原理以及防范Token如何运作的。 CSRF中间件 官方文档介绍的也是表面,本文通过源码层面直接分析流程 官方文档针对CSRF的介绍以及参数配置 传送门 Settings文件 Setting.py中有茫茫多的配置选项。传送门 Django全流程...
DRF三个配置项allow_hosts、cors_allowed_origins、CSRF_TRUSTED_ORIGINS
weixin_58414392的博客
07-26 578
DRF三个配置
python middleware模块_详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击...
weixin_39864601的博客
12-10 217
一、在django后台处理1、将django的setting中的加入django.contrib.messages.middleware.MessageMiddleware,一般新建的django项目中会自带的。MIDDLEWARE_CLASSES = ['django.middleware.security.SecurityMiddleware','django.contrib.sessions...
解决Django 前后端分离域问题
Snippers的博客
03-10 1116
一、域出现原因 浏览器的同源策略:同源策略是一种浏览器最基本的安全机制,如果两个 URL 的 protocol、port(如果有指定的话)和 host都相同的话,则这两个 URL 是同源。 二、解决方案 (一)CORS:使用django-cors-headers包 支持Python 3.6至3.9。 支持Django 2.2到3.2。 1、从pip安装: pip install django-cors-headers 2、修改settings.py: 注册App INSTALLE..
django后台登录:Forbidden (403) CSRF verification failed. Request aborted.
weixin_46084533的博客
01-16 1204
如果您在尝试登录Django后台时遇到了CSRF验证失败的错误,这通常意味着您的浏览器未能提交正确的CSRF令牌,或者Django后端未能验证该令牌。如果您的Django站点后面有代理服务器(如Nginx或Apache),请确保代理正确设置了HTTP头信息,如。有时候,浏览器的Cookies或缓存可能导致此类问题。尝试清除您的浏览器Cookies和缓存,然后重新登录。有时候,简单地重启您的开发服务器可以解决问题。如果您使用了自定义的登录视图,请确保在POST表单中包含了。如果您正在本地工作,而且使用的是。
DJANGO VUE3 CSRF问题刨坑
llsixly
04-26 2487
文章目录前言1.域问题后台django部分第一步,安装cors的扩展包第二步,导入应用第三步,插入中间件第四步,允许发送cookie第五步,设置白名单:第六步,设置允许的请求方法第七步,设置允许的其请求头第八步,测试2.CSRF问题和Cookie第一步,VUE的main.ts设置第二步,通过get请求先获取csrftoken第三步,请求中带上CSRFTOKEN 前言 不行,我必须要总结一下,搞了两天,都在处理域的问题。 看到尤大的那句直接学VUE3就好,开始了VUE3+TS的刨坑之路,只能说不懂英语的程
djangocsrf的实现机制
06-10
Django中的CSRF(Cross-Site Request Forgery)机制可以防止站点请求伪造攻击。DjangoCSRF机制的实现基于以下两个元素: 1. CSRF令牌:每个表单都会包含一个隐藏的CSRF令牌,这个令牌是服务器随机生成的,并且只能在表单提交时使用。在表单提交时,这个令牌会被发送到服务器,并且服务器会验证这个令牌是否有效,如果无效则拒绝请求。 2. CSRF中间件:Django中内置了一个CSRF中间件,该中间件会在每个POST请求中验证CSRF令牌的有效性。如果CSRF令牌无效,则会抛出一个异常,拒绝请求。在使用Django的Form表单和Ajax请求时,这个中间件会自动加入CSRF令牌。 具体来说,DjangoCSRF机制的实现过程如下: 1. 当用户访问包含表单的页面时,服务器会生成一个CSRF令牌,并将其存储在用户的会话中。 2. 当用户提交表单时,CSRF令牌会随表单一起提交到服务器。 3. 服务器在接收到表单请求时,会验证CSRF令牌的有效性。如果令牌无效,则拒绝请求。 4. 验证成功后,服务器会处理表单数据,并返回响应。 需要注意的是,在使用Ajax请求时,CSRF令牌需要手动添加到请求的头部中。可以通过Django提供的csrftoken模板标签来获取CSRF令牌,并将其添加到请求头部中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值