python中CSRF保护机制–表单和AJAX的应用

最新推荐文章于 2024-05-04 08:00:00 发布
最新推荐文章于 2024-05-04 08:00:00 发布
阅读量338 收藏 1
点赞数
分类专栏: python flask 文章标签: python CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42708830/article/details/84348791
版权

python中CSRF保护机制–表单和AJAX的应用

####csrf保护机制
为什么需要CSRF保护机制:一般网站只使用账号验证并使用了状态保持,某些人就会利用隐藏表单发起跨站请求,这些网站就有被攻击的危险。

例如: 以form表单的形式来做一个CSRF保护机制
1.做一个登陆界面(登录成功后,cookie记录sid),登陆成功后就会跳转到转账界面(提交表单,验证sid,转账成功)
2.做一个攻击的网站界面,
利用隐藏的form表单,如浏览器发起跨站请求这样就攻击的上述网站,转账成功。

保护机制:flask组件flask-wtf中封装csrf保护机制
做一个随机令牌,用户登陆的时候随机令牌就会被保存到cookie和表单中,用户登陆成功后会进入转账页面,发送转账post请求的时候,校验表单和cookie中的令牌是否一致。
这样你去用跨站请求就不能去转账,因为你获取不到它的随机令牌,不仅仅是因为它是随机的令牌,而且有个原则是同源策略。

例如:利用AJAX发送POST请求来实现CSRF保护机制
发送AJAX请求之前,每个AJAX请求都会设置一个请求头。如果你再发一个AJAX请求,它验证的是session和请求头里面来进行校验

Github上有例子:https://github.com/xiaofeifeiglp/pc_example
小飞飞要变强
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pythonCSRF设置(一)
野先生的专栏
10-31 2376
pythonCSRF设置一 csrf:跨站请求伪造,通过间件 django.middleware.csrf.CsrfViewMiddleware 来完成 1、单个ajax提交设置,在ajax内添加:headers: {‘X-CSRFtoken’: $.cookie(‘csrftoken’)}, $('#btn').click(function () { $.ajax({ ...
Django 的 CSRF 保护机制
weixin_34348174的博客
12-02 201
用 django 有多久,我跟 csrf 这个概念打交道就有久了。 每次初始化一个项目时都能看到 django.middleware.csrf.CsrfViewMiddleware 这个间件 每次在模板里写 form 时都知道要加一个 {% csrf_token %} tag 每次发 ajax POST 请求,都需要加一个 X_CSRFTOKEN 的 header 但是一直我都是...
web 扫描漏洞:HTML form without CSRF protection 问题解决
最新发布
dazhong2012的专栏
05-04 500
一.扫描工具:acunetix 二.问题描述 该漏洞主要是利用用户登录网站的session 或 cookie 信息,采用诱导链接,获取用户浏览器的相关session 或 cookie ,发送恶意请求或重复攻击; 三.解决方法 1.在提交浏览器表单信息时,增加 token 或 随机数 参数,并将 参数 写入到 session 信息;后台校验时,通过 对比 表单参数和 session 的参数的一致性,判断表单提交是否是来源于页面的正常请求。 jsp 页面代码如下: <%@ page language
Python-csrf
傻瓜的专栏
12-05 1337
<br />CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。<br /> <br />解决方法:<br />(1)在setting:增加红色的三行<br />MIDDLEWARE_CLASSES = (<br />    'django.middleware.common.CommonMiddleware',<br />    'django.contrib.sessions.middleware.SessionM
csrfpython django的一些应用
houzi_01的博客
07-03 704
1、csrf 基本知识2、django自带的csrf间件的使用问题1、概念        CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。       CSRF攻击原理(借鉴一个总结的非常好的图解):如果还不够形象,再来个例子~   ...
简书爬ajax接口获取csrf,python3爬虫项目实战(二)ajax请求爬取网站图片
weixin_35926197的博客
08-06 322
这次的项目是利用ajax来对网站图片进行爬取。Ajax的作用就是在保证页面不被刷新的情况下,与服务器交换数据从而只更新部分网页的技术。这里不多讲述ajax技术,先给出网页,来具体分析。https://www.toutiao.com/这个是头条的网站,我们在搜索框输入“街拍”二字,点击搜索,就可以进入到搜索界面,按一下F12就可以进入检查模式,在这个模式下,我们点击Network选项卡,选择XHR后...
Python Django框架防御CSRF攻击的方法分析
09-18
3. **验证CSRF令牌**:当用户提交表单时,这两个CSRF令牌(隐藏字段的和Cookie的)会被发送到服务器。Django会检查这两个令牌是否一致。如果匹配,请求被认为是合法的;如果不匹配,Django将拒绝该请求,通常...
Flask框架 CSRF 保护实现方法详解
01-02
Flask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你...
django框架ajax的使用及避开CSRF 验证的方式详解
09-18
在Django框架,使用Ajax可以实现前端与后端的异步交互,提高用户体验,而CSRF(Cross-site request forgery,跨站请求伪造)验证是Django为了防止恶意第三方模拟用户发送请求的一种安全机制。然而,有些情况下,...
python Django框架实现自定义表单提交
09-21
总的来说,理解并正确处理Django的自定义表单提交和Ajax提交,以及如何防止CSRF攻击,是开发安全Web应用的基础。记住,CSRF保护对于POST请求是强制性的,而对于GET请求则不是必需的,因为GET请求不修改服务器状态...
python token post403原因_Djangoajax发送post请求 报403错误CSRF验证失败解决方案
weixin_34394074的博客
02-19 240
前言今天学习Django框架,用ajax向后台发送post请求,直接报了403错误,说CSRF验证失败;先前用模板的话都是在里面加一个 {% csrf_token %} 就直接搞定了CSRF的问题了;很显然,用ajax发送post请求这样就白搭了;文末已经升级更简单的方法,上面的略显麻烦上网上查了一下,看了几个别人的博客,才知道官方网站也早有介绍解决办法,大致流程就是:就是新版建一个JavaScr...
python web 开发csrf_token问题及处理方法
weixin_30709929的博客
09-03 614
1 转载于:https://www.cnblogs.com/robinunix/p/7470345.html
【五 form提交及校验】 2. 防御CSRF攻击
weixin_34405925的博客
12-12 574
为什么80%的码农都做不了架构师?>>> ...
PYTHON 如何禁用DJANGO的CSRF验证
子钦加油的博客
06-26 329
如果只需要一些视图不使用CSRF,可以使用@csrf_exempt: from django.views.decorators.csrf import csrf_exempt @csrf_exempt def my_view(request): return HttpResponse('Hello world') ...
Python学习笔记:6.3.11 csrf攻击与防范
元文的博客
02-17 376
简介:讲解了什么是CSRF、flask如何使用表单CSRF保护以及AJAXCSRF保护等内容
Django form 防止csrf 的解决方法
YUAYU博客
09-02 499
解决方法1: Django默认开启防止csrf(跨站点请求伪造)攻击,在post请求时,没有上传 csrf字段时,导致校验失败,报403错误 MIDDLEWARE = [ # 'django.middleware.csrf.CsrfViewMiddleware', ] 注释掉此段代码,即可。 缺点:导致Django项目完全无法防止csrf攻击 解决方法2: 在 views.py文件: #导入,可以使此次请求忽略csrf校验 from django.views.decorators.csrf impor
csrfpython的运用格式
Dai_yinian6的博客
06-23 443
# 导入生成 csrf_token 值的函数 from flask_wtf.csrf import generate_csrf # 调用函数生成 csrf_token csrf_token = generate_csrf()@app.after_request def after_request(response): # 调用函数生成 csrf_token csrf_token =...
html表单没的csrf保护,表单csrf保护
weixin_30047651的博客
06-19 875
## 表单提交和CSRF在本课程,我们将介绍将表单数据提交到服务器的基本工作流程。在此过程,我们将介绍一个新概念:`CSRF`(跨站点请求伪造)。### 新手建议前面几节我们介绍了如何从数据库获取数据,使用 `Tinker` 添加测试数据。接下来我们在页面实现添加数据并展示。> 不论做任何复杂的功能,都是从简单开始,慢慢迭代,这里给新手一个建议,不论做什么都先按照 `路由->控...
python requests请求带有csrf-token的网站,比如使用Django搭建的网站
水月灯花的博客
05-15 7876
1、post请求原理 在使用Python的request模块的post请求时,由于网站开启了csrf跨站请求攻击,会出现403错误,因为我们在使用post的时候没有携带csrf数据去验证,网站会不认可我们,因此我们需要第一次的时候使用get请求,然后使用re正则匹配到这个csrf-token命令,取出来这个命令,然后在使用post发送请求,在请求的数据添加csrf的键值对,然后就可以使用post访问到网上了,并且也可以post请求携带数据。 2、操作方式 就是先访问一次登录页,然后从登录页查找
CSRF cookie not set
04-15
为了防止CSRF攻击,Django引入了CSRF保护机制。当你在Django进行POST请求时,需要在请求包含CSRF令牌,以验证请求的合法性。 在你提供的引用,报错信息"Forbidden (CSRF cookie not set.)"表示在进行POST请求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值