Django的cs rf token验证

最新推荐文章于 2024-08-05 17:18:14 发布
最新推荐文章于 2024-08-05 17:18:14 发布
阅读量444 收藏
点赞数
分类专栏: Django 文章标签: django python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41048761/article/details/123440715
版权

CSRF(Cross Site Request Forgery protection),中文简称跨站请求伪造。django中对POST请求,csrf会进行认证处理,csrf认证机制是防御跨站伪造功能,在没有任何处理的前提下,POST请求会报错。
Django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 token,把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token,这样就能避免被 CSRF 攻击。

例子如下:

login.html页面:

浏览器访问之后的网页源代码:

有一个默认隐藏起来的input框,其中有value值,会跟随用户提交的数据一起到达服务器。Django会在数据到达之后,在内部读取这个隐藏起来的value。用来校验这个请求是不是我们的网页。如果不是,就当作非法请求。

官方文档中说到,检验token时,只比较secret是否和cookie中的secret值一样,而不是比较整个token。

源码中,token字符串的前32位是salt, 后面是加密后的token

例如:

<input type="hidden" name="csrfmiddlewaretoken" value="XmgOYha8SA4FiGlWXweKaDu0dmuJYyB2e0eF3gegFHSW4zMgovNMamWNsV4TwIN1">

salt:XmgOYha8SA4FiGlWXweKaDu0dmuJYyB2

token:e0eF3gegFHSW4zMgovNMamWNsV4TwIN1

salt对应唯一的secret
django会验证表单中的token和cookie中token中的salt是否能解出同样的secret,secret一样则本次请求合法。

参考于:Django中csrf token验证原理 - 扫驴 - 博客园 (cnblogs.com)

夕阳之后的黑夜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django——CSRF权限认证处理
胖大xian
02-08 605
CSRF权限认证 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 一、简单说明csrf如何操作 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经
Django ModelForm操作及验证方式
09-17
### Django ModelForm 操作及验证方式详解 #### 一、内容概述 在Django框架中,`ModelForm` 是一种非常实用的工具,它结合了 `Model` 和 `Form` 的优点,使得处理数据和数据库操作变得更加高效和简洁。本文将深入...
Django项目实例(登录注册)
qq_41048761的博客
03-12 1780
本文按照下列项目来进行说明。 mysite2 - manage.py - mysite2 - app01 1、在app01/templates文件夹下新建一个login.html文件 <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head&g...
千锋Django学习笔记
李英俊小朋友
01-14 1338
千锋Django学习笔记 文章目录千锋Django学习笔记写在前面1. MVC和MTV2. Django简介3. MTV简单流程4. 和Model的简单对接5. Model6. Template7. View8. 会话9. 迁移原理和模型关系10. 静态资源11. 缓存12. 中间件和AOP13. 分页器14. AXF项目14.1 需求分析14.2 一些开发时遇到的问题14.3 一些需要注意的细节14.4 Note14.5 Nginx14.6 Gunicorn15. RESTful15.1 APIView1
基于Pycharm的Django学习 —— 用户登录小demo
❀雾里看花花里看雾❀
02-12 2256
为了巩固前面学习的Django内容,我们来写一个用户登录的小demo吧! 需求:写一个简单的用户登录页面,当用户输入用户名和密码时,后端获取用户输入的数据,并且验证是否输入正确,再做对应的处理。 这个案例不难,但是当时还是挺惊艳我的,有一些细节值得注意。 <form method="post" action="/login/"> <label> <input type="text" name="user" placeholder="用户
Django学习笔记
米不开朗基罗的博客
07-27 381
转自 李英俊小朋友千锋Django学习笔记 写在前面1. MVC和MTV2. Django简介3. MTV简单流程4. 和Model的简单对接5. Model6. Template7. View8. 会话9. 迁移原理和模型关系10. 静态资源11. 缓存12. 中间件和AOP13. 分页器14. AXF项目14.1 需求分析14.2 一些开发时遇到的问题14.3 一些需要注意的细节14.4 Note14.5 Nginx14.6 Gunicorn15. RESTful15.1 APIView15.2 用.
Django商城前台项目
一夜奈何梁山
12-30 1690
目录1: 项目初始化1.1: 虚拟环境命令:1.2: Django项目的创建1.3: manage.py 中指定运行的配置文件地址:1.4:BASE_DIR问题:1.5: 指定模板文件夹的位置:1.6:Mysql数据库的配置1.7: 配置Redis1.8: 配置日志:1.9:主机域名映射和设置django白名单:1.10: django创建子应用:2:Django RESTful 设计风格2.1:HTTP接口/Web接口/网络API2.2:Django Restful设计风格:3:用户模型类的设计3.1:
Python3.5 Django1.10 Scrapy1.2 Ubuntu16.04 HTML5
huangle63的专栏
08-29 9343
1.Python3.5 1. 虚拟环境 venv python3.4 创建虚拟环境(py3.4自带venv,不需要安装) 如果(windows)电脑里同时存在py2 和py3 ,在当前目录输入命令为 “py -3 -m venv venv“或“python3 -m venv venv”,在Ubuntu16中命令为 “python3 -m venv venv” ,最后一个venv是文件夹...
基于Docker和Kubernetes的企业级DevOps实践训练营
热门推荐
Alex
07-18 1万+
基于Docker和Kubernetes的企业级DevOps实践训练营 课程准备 离线镜像包 百度:https://pan.baidu.com/s/1N1AYGCYftYGn6L0QPMWIMw 提取码:ev2h 天翼云:https://cloud.189.cn/t/ENjUbmRR7FNz CentOS7.4版本以上 虚拟机3台(4C+8G+50G),内网互通,可连外网 课件文档 《训练营课件》 《安装手册》 git仓库 https://gitee.com/agagin/python
DEVOPS架构师 -- 05从零开始构建基于Kubernetes的DevOps平台
明日之星
10-24 1452
文章目录基于Kubernetes的DevOps平台实践DevOps、CI、CD介绍瀑布式流程敏捷开发DevOpsJenkins初体验Kubernetes环境中部署jenkins安装汉化插件Jenkins基本使用演示演示目标演示准备演示过程Master-Slaves(agent)模式Jenkins定制化容器本章小结流水线入门流水线基础语法脚本示例脚本解释:Blue Ocean:Jenkinsflie演示1:使用Jenkinsfile管理**pipeline**演示2:优化及丰富流水线内容演示3:使用k8s部署
Django权限设置及验证方式
09-16
### Django权限设置及验证方式详解 #### 一、概述 Django是一款非常强大的Python Web框架,它内置了许多方便的功能模块,其中包括用户权限管理和身份验证系统。权限管理是Django的一个重要组成部分,它允许开发者...
django 简单实现登录验证给你
09-18
主要介绍了django 简单实现登录验证给你,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
django使用LDAP验证的方法示例
09-19
### Django 使用 LDAP 验证的方法详解 随着企业级应用对安全性要求的不断提高,越来越多的应用选择集成现有的企业身份管理系统,如Active Directory (AD) 或其他基于 LDAP 的目录服务来进行用户认证和授权。Django ...
django基于存储在前端的token用户认证解析
09-18
主要介绍了django基于存储在前端的token用户认证解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Django异步请求和后台管理实战
最新发布
m0_61517307的博客
08-05 454
Django后端分离项目实战
Django配置模板引擎
brucexia的专栏
08-05 552
本节主要介绍Django框架模板层中关于配置方面的内容,包括添加模板引擎支持、模板引擎用法、内置后端和自定义后端等方面。配置模板引擎是基于Django框架进行模板层开发的基础。
Django 模板中渲染并行数组
weixin_44617651的博客
08-05 347
Django 模板中渲染并行数组通常涉及使用模板语言中的循环结构来遍历和展示数组中的每个元素。假设你有一个名为 items 的数组,你可以按照以下方式在 Django 模板中渲染它:
Django函数视图和类视图
Liuzhengyue_的博客
08-02 654
注意:这里我们要将所有的html文件全部放在templates文件夹里面,并且在全局的文件setting.py里面。1.全局环境的urls.py引入映入应用的urls,避免后期开发路由过多而导致杂乱。把需要呈现的视图展示柜到views.py里面,就可以通过相应的路由进行访问。2.找到对应的应用下创建urls.py,并进行路由配置。转到应用下的urls.py里面配置路由。在views里面定义类。
Django REST Framework(十八)权限
yjjpp2301的专栏
08-05 281
我们可以通过创建自定义认证类来实现项目特定的认证需求。"""自定义认证类"""try:return (user, None) # 返回格式必须是 (user, auth) 或 None自定义权限类可以让你根据特定条件来控制访问权限。"""自定义权限类"""通过以上详细的示例,可以更好地理解如何在 Django REST framework 中配置和应用权限和认证。这包括全局配置、自定义认证和权限类、在视图中应用这些类以及配置路由。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值