CSRF与AJAX

最新推荐文章于 2023-11-13 19:34:33 发布
最新推荐文章于 2023-11-13 19:34:33 发布
阅读量149 收藏
点赞数
分类专栏: web Python 文章标签: django python Powered by 金山文档
原文链接:https://www.liujiangblog.com/course/django/179
版权
web 同时被 2 个专栏收录
13 篇文章 0 订阅
订阅专栏
Python
6 篇文章 1 订阅
订阅专栏

CSRF(Cross-site request forgery)跨站请求伪造,是一种常见的网络攻击手段,具体内容和含义请大家自行百度。

Django为我们提供了防范CSRF攻击的机制。

一、基本使用

默认情况下,使用django-admin startproject xxx命令创建工程时,CSRF防御机制就已经开启了。如果没有开启,请在MIDDLEWARE设置中添加'django.middleware.csrf.CsrfViewMiddleware'。

对于GET请求,一般来说没有这个问题,CSRF通常是针对POST方法的!

在含有POST表单的模板中,只需要在其<form>表单内部添加csrf_token标签,如下所示:

<formaction=""method="post">{%csrf_token%}....</form>

这样,实际上就是生成了一个隐藏的名称为'csrfmiddlewaretoken'的input输入框,这个input的值就是Django提供给表单的csrf_token。

当表单数据通过POST方法,发送到后台服务器的时候,除了正常的表单数据外,还会携带这个CSRF令牌随机字符串,用于进行csrf验证。

其实没有多么麻烦和复杂,对么?如果表单中没有携带这个csrf令牌,你将会获得一枚403奖章。

额外提示:对于初学者,要明白一件事情,就是我们上面讲的都是Django项目自己内部的事务,不涉及与外界的关系。例如,你不能把上面那个表单发往百度,百度会懵逼的,你这发的啥?其次,那样也不安全,可能引起CSRF信息泄露而导致自己的站点出现漏洞。

二、 AJAX

我们知道,在前端的世界,有一种叫做AJAX的东西,也就是“Asynchronous Javascript And XML”(异步 JavaScript 和 XML),经常被用来在不刷新页面的情况下,提交和请求数据。如果我们的Django服务器接收的是一个通过AJAX发送过来的POST请求的话,那么将很麻烦。

为什么?因为AJAX中,没有办法像form表单中那样通过一个隐藏的input标签携带{% csrf_token %}令牌。

那怎么办呢?其实也很好办。

首先我们要知道CSRF中间件会在cookie中写入CSRF令牌随机字符串。

我们只需要通过JS代码获取这个字符串,然后随同AJAX发送到后台服务器即可。

这个随同的过程也很简单,很多JS框架都提供修改HTTP头部的钩子,我们可以在header中添加X-CSRFToken键值对,值就是CSRF令牌。键的名字可以通过 CSRF_HEADER_NAME配置项自定义,但一般保持默认值就好。

然后第一步是获取cookie中的CSRF令牌,不过这取决于两个配置项:

  • CSRF_USE_SESSIONSCSRF_COOKIE_HTTPONLY 都是False的时候

CSRF_USE_SESSIONS 为True表示将csrf的令牌储存在会话中。
CSRF_COOKIE_HTTPONLY 为True表示客户端的JS代码不能访问cookie。
一般来说,大多Web服务器都会保持这两个设置为False,因为True没什么实际意义。

此时直接去cookie中读取CSRF令牌即可(将下面的代码抄到你的HTML中):

functiongetCookie(name){letcookieValue=null;if(document.cookie&&document.cookie!==''){constcookies=document.cookie.split(';');for(leti=0;i<cookies.length;i++){constcookie=cookies[i].trim();// Does this cookie string begin with the name we want?if(cookie.substring(0,name.length+1)===(name+'=')){cookieValue=decodeURIComponent(cookie.substring(name.length+1));break;}}}returncookieValue;}constcsrftoken=getCookie('csrftoken');

如果你安装了js-cookie前端库,那么上面的代码可以简化为:

constcsrftoken=Cookies.get('csrftoken');

'csrftoken'是默认情况下CSRF令牌储存在cookie中的键,可以通过CSRF_COOKIE_NAME设置来自定义名称。

注意,为了保证在没有表单系统的时候,Django向cookie中写入了CSRF令牌,你需要在视图上使用装饰器django.views.decorators.csrf.ensure_csrf_cookie

  • CSRF_USE_SESSIONSCSRF_COOKIE_HTTPONLY 有一个是True的时候

这个时候显然,cookie中即使有CSRF令牌也读取不到。

我们需要在Django进行render(request, 'xxx.html',{})的时候,在HTML文件中显式地添加一个csrf_token到DOM中,然后通过JS代码获得它,如下所示:

{%csrf_token%}<script>constcsrftoken=document.querySelector('[name=csrfmiddlewaretoken]').value;</script>

现在,我们通过JS手段成功获取到了CSRF令牌,然后就是通过AJAX在发送POST数据的同时一起发送它了:

constrequest=newRequest(/* URL */,{headers:{'X-CSRFToken':csrftoken}});fetch(request,{method:'POST',mode:'same-origin'// Do not send CSRF token to another domain.}).then(function(response){// ...});

以上是ES6新语法(不再使用JQuery了),如果不熟悉的可以自行学习或者观看我的Vue视频。

三、装饰器

1. 单独指定csrf验证需要

有时候,我们在全站上关闭了CSRF功能,但是希望某些视图还有CSRF防御,那怎么办呢?

Django为我们提供了一个csrf_protect(view)装饰器,使用起来非常方便,如下所示:

fromdjango.shortcutsimportrenderfromdjango.views.decorators.csrfimportcsrf_protect@csrf_protectdefmy_view(request):c={}# ...returnrender(request,"a_template.html",c)

现在,虽然全站关掉了csrf,但是my_view视图依然需要进行csrf验证。

另外,当你缓存某个视图的时候,由于缓存的机制,你必须显式的为需要csrf保护的视图添加此装饰器:

fromdjango.views.decorators.csrfimportcsrf_protect@cache_page(60*15)@csrf_protectdefmy_view(request):...

2. 单独指定忽略csrf验证

有正就有反。在全站开启CSRF机制的时候,有些视图我们并不想开启这个功能。比如,有另外一台机器通过requests库,模拟HTTP通信,以POST请求向我们的Django主机服务器发送过来了一段保密数据。它无法携带CSRF令牌,必然会被403。

这怎么办呢?

在接收这个POST请求的视图上为CSRF开道口子,不进行验证。这就需要使用Django为我们提供的csrf_exempt(view)装饰器了,下面是使用范例:

fromdjango.views.decorators.csrfimportcsrf_exemptfromdjango.httpimportHttpResponse@csrf_exemptdefmy_view(request):returnHttpResponse('Hello world')

这下POST数据是没问题了,但是又带来了新的安全问题,需要你自己处理。

最常见的用法如下:

fromdjango.views.decorators.csrfimportcsrf_exempt,csrf_protect@csrf_exempt# 外面忽略csrfdefmy_view(request):@csrf_protect# 里面需要csrfdefprotected_path(request):do_something()ifsome_condition():returnprotected_path(request)else:do_something_else()

3. 确保csrf令牌被设置

Django还提供了一个装饰器,确保被装饰的视图在返回HTML页面给前端用户时同时将csrf令牌写入Cookie。

这个装饰器是:ensure_csrf_cookie(view),其使用方法和上面的一样:

fromdjango.views.decorators.csrfimportensure_csrf_cookiefromdjango.httpimportHttpResponse@ensure_csrf_cookiedefmy_view(request):returnHttpResponse('Hello world')

4. requires_csrf_token(view)

这个装饰器类似csrf_protect,一样要进行csrf验证,但是它不会拒绝发送过来的请求。

fromdjango.views.decorators.csrfimportrequires_csrf_tokenfromdjango.shortcutsimportrender@requires_csrf_tokendefmy_view(request):c={}# ...returnrender(request,"a_template.html",c)

四、配置项

下面是Django中可配置的关于CSRF的settings:

  • CSRF_COOKIE_AGE: cookie的有效期

  • CSRF_COOKIE_DOMAIN: 允许访问的域名

  • CSRF_COOKIE_HTTPONLY:是否允许JS读取cookie

  • CSRF_COOKIE_NAME: cookie的键

  • CSRF_COOKIE_PATH:cookie的位置

  • CSRF_COOKIE_SAMESITE

  • CSRF_COOKIE_SECURE:将此设置为 True,避免不小心使用 HTTP 传输 CSRF cookie。

  • CSRF_FAILURE_VIEW:csrf拒绝后跳转的视图

  • CSRF_HEADER_NAME:csrf在header中的键

  • CSRF_TRUSTED_ORIGINS :信任源

  • CSRF_USE_SESSIONS:是否使用基于session的csrf令牌

大多情况下,以上都不需要配置,保持Django默认即可。

鳳舞酒天
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
切记ajax中要带上AntiForgeryToken防止CSRF攻击
12-11
经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击 在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可。 Html.AntiForgeryToken()会生成一对加密的字符串,分别存放在Cookies 和 input 中。 我们在ajax post中也带上AntiForgeryToken @model WebApplication1.Controllers.Person @{ ViewBag.Title = "Index"; } <h2>Index</h2> <form id="form1"> <div c
ajax csrf
weixin_30399797的博客
02-09 105
data 里加 csrfmiddlewaretoken:$("[name='csrfmiddlewaretoken']").val(),还要再 form表单里加{% csrf_token %}   或者 如下 ,反正一定要加 <div class="buryit action"> <span class="burynum" id="bury_c...
ajax可以csrf,如何在表单的AJAX发布请求中传递CSRF令牌?
weixin_39644139的博客
08-05 447
小编典典好的,经过几个小时的努力,并尝试解密Play上经常出现的主题上下文文档不足的问题,我明白了。因此,从他们的文档中:为了对非浏览器请求提供简单保护,“播放”仅检查标头中包含Cookie的请求。如果使用AJAX发出请求,则可以将CSRF令牌放在HTML页面中,然后使用Csrf-Token标题将其添加到请求中。然后没有代码或示例。谢谢玩。非常具有描述性。无论如何,这是如何:在你的view.htm...
ajax 获得csrf,Ajax Post-Api中的CSRF令牌
weixin_28811227的博客
08-06 273
我的问题是我用Django制作了一个POST-API,我用一个按钮调用它。但每次它给CSRF令牌错误。每次post请求都返回403。我不知道我错在哪里。在我在下面写我的代码。其余代码可以在in this repo中找到。在API输入视图.py在class UserList(APIView):def post(self, request, format=None):serializer = User...
Django中使用Ajax时使用CSRF保护
silent_missile的博客
11-05 801
Django中使用Ajax时使用CSRF保护需要服务器设置CSRF的相关选项。并且在客户端读取特定的信息,然后采用特定的格式发送给服务器才能正确处理。
django框架中ajax的使用及避开CSRF 验证的方式详解
09-18
Django框架中,使用Ajax可以实现前端与后端的异步交互,提高用户体验,而CSRF(Cross-site request forgery,跨站请求伪造)验证是Django为了防止恶意第三方模拟用户发送请求的一种安全机制。然而,有些情况下,...
Laravel 解决419错误 -ajax请求错误的问题(CSRF验证)
01-03
程序内容相关:Laravel+ajax+CSRF 好吧还有好多能扯出来好像有点多而且微不足道得像面前鼠标垫上的纤维不重要所以就不扯了啊我废话好多 贴上自己的解决办法,两行内容 1.在页面上添加 <meta name=csrf-token ...
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
ajax跨域 csrf,如何使用CSRF令牌进行跨域Ajax调用?
weixin_39883906的博客
08-06 354
我在Django应用程序模板中有一个典型的登录表单(它直接使用Bootstrap,而不是通过某个插件): {% csrf_token %}Please sign inLogin:Password:Sign in下面是通过requests module执行远程身份验证的相应视图:^{pr2}${js{Ajax成功的原因是,{csa3}为了其他目的,我可以通过远程Javascript进行一次查询(例如...
ajax 页面 令牌,如何在ajax POST请求中设置标头以包含CSRF令牌
weixin_35241415的博客
08-05 341
帮助设置标题以消除该错误消息:"Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'."HTML:&#13;&#13;&#13;&#13;&#13;我的JS代码:var recipe = getRecipe();var token = $("meta[name='_...
ajax可以csrf,ajax处理csrf的三种方式
weixin_39530509的博客
08-05 396
方式一:$.post({url: '/get_result/',data: {value0: $('#v1').val(),value1: $('#v2').val(),csrfmiddlewaretoken: '{{ csrf_token }}'},success: function (data) {if (data) {$('#v3').val(data);swal("操作成功!", "成功算...
csrf攻击ajax,六十六:CSRF攻击与防御之CSRF防御之ajax防御和ajax封装
weixin_39946429的博客
08-06 195
app里面还是要绑定CSRFProtectfrom flask_wtf import CSRFProtect # flask_wtf 已经提供CSRF的防御手段CSRFProtect(app) # 绑定app登录页的js$(function () {$(‘#submit‘).click(function (event) {event.preventDefault(); // 阻止默认form提...
CSRF ajax 的一些设置
oqqLai123456的博客
03-21 882
spring security 4.x 之后默认开启csrf保护,因此 POST, PUT or DELETE 等基本请求都要求附带服务器端的令牌请求才会被服务器接受,因此,如果你的POST, PUT or DELETE 等请求如果没有携带服务器令牌,你将会得到一个403错误"Invalid CSRF Token 'null' was found on the request parameter '
Anti-CSRF and AJAX
softuse的博客
02-03 428
Anti-CSRF and AJAX The form token can be a problem for AJAX requests, because an AJAX request might send JSON data, not HTML form data. One solution is to send the tokens in a custom HTTP header. The...
AJAX以及跨域情况下POST请求出现CSRF问题的解决方案
Blossom
03-07 4996
CSRF是什么? AJAX中处理CSRF的解决方案 系统和环境描述: JSP页面 AJAX POST请求 Spring Boot开启Security(会自动开启CSRF机制) 请求出现403问题 简单的禁用CSRF 在继承了WebSecurityConfigurerAdapter的Spring管理类的configure方法中加入http.csrf().disable()代码即可...
ajax如何加csrf,Ajax请求如何设置csrf_token
weixin_35208812的博客
08-05 1625
1. 方式一通过获取隐藏的input标签中的csrfmiddlewaretoken值,放置在data中发送。$.ajax({url: "/cookie_ajax/",type: "POST",data: {"username": "yang","password": 123,// 使用jQuery取出csrfmiddlewaretoken的值,拼接到data总"csrfmiddlewaretoke...
基于form表单和ajax提交数据,csrftoken验证
最新发布
m0_73399600的博客
11-13 709
pass。
spring security的csrf防御机制在ajax中的应用
热门推荐
InfoSecPractitioner
11-27 1万+
spring security的csrf防御功能: 在jsp中使用如下代码: ... 上述代码中,等同于: 而,之所以使用spring的替代标签,是因为spring的标签可以自动将token以hidden类型添加到提交的数据当中 在js代码中,使用如下方式: var csrfParameter = $("meta[name='_csrf_para
jquery ajax设置csrf_token
05-21
在使用 jQuery 发送 AJAX 请求时,可以通过设置 `headers` 属性来携带 CSRF Token。具体步骤如下: 1. 在 HTML 页面的 `<head>` 标签中添加以下代码,用于设置全局的 CSRF Token: ```html <meta name="csrf-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值