Django之CSRF

最新推荐文章于 2024-05-15 11:57:32 发布
最新推荐文章于 2024-05-15 11:57:32 发布
阅读量206 收藏
点赞数
分类专栏: Django 文章标签: Django CARF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43687990/article/details/101075228
版权

1.csrf原理
csrf要求发送post,put或delete请求的时候,是先以get方式发送请求,服务端响应时会分配一个随机字符串给客户端,客户端第二次发送post,put或delete请求时携带上次分配的随机字符串到服务端进行校验
2.Django中的csrf使用
Django中的csrf中间件作用于整个项目。Django内置了很多中间件,其中之一便有csrf中间件:

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware', #csrf的中间件
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

如果不讲csrf中间件注释掉,则其可以作用整个Django项目,如果不做特殊处理,form表单无法提交。
如果要添加csrf验证,需要在html(模板)中添加{%csrf_token%}:

<form action="/app01/csrf1/" method="post">
    {% csrf_token %}
    <input type="text" name="name" >
    <input type="submit" value="提交">
</form>

如果添加了{%csrf_token%},会在页面中添加一个:<input type='hidden' name='csrfmiddlewaretoken' value='jXrBONPVihTq8RGGPrqZCl3uJFPkpRyt0Vfgoom4JdA8B4J2m5uWTAUkeREMx8Ml' />
value值是随机生成的。提交form表单时需要带上该值。
如果在页面中添加{{csrf_token}},会将随机生成的字符串显示出来。

技术无他,唯手熟尔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django 取消csrf限制的实例
09-17
Django框架中,CSRF(Cross-site request forgery,跨站请求伪造)是一种重要的安全机制,用于防止恶意第三方在用户浏览器中伪造请求到你的应用。然而,在某些情况下,例如前后端分离的项目或者API接口,你可能...
Django 跨站请求伪造(csrf)防御——解决 POST 请求 403 问题
平头
08-08 798
文章目录背景Django 的跨站请求伪造(csrf)防御取消 csrf 防御对某个特定请求开启 csrf 防御设置 csrf token客户端该如何处理 csrf token针对 csrf 的一些配置项 背景 正在使用 Django 框架做项目,需要在页面上进行 POST 请求,请求由 axios 进行处理。 处理过程中总是出现 403 Forbidden,于是仔细研究了一下。 Django 的跨站请求伪造(csrf)防御 如果你啥也不想管,就想让自己的 403 消失,那么可以直接看下一节。 首先什么是 c
CSRF详解及其利用方式(get方式)
读书 买花 长大
11-28 1834
CSRF-csrf
CSRF 攻击实验:更改请求方式绕过验证
最新发布
Flag少侠的博客
05-15 1247
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求。CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
ajax put请求_用HTTP请求重写实现JSON CSRF
weixin_39924307的博客
11-27 297
在该篇Writeup中,介绍了作者在某漏洞测试项目中发现JSON类型跨站请求伪造漏洞(Cross-Site Request Forgery,CSRF)的过程。通常来说,JSON CSRF漏洞主要在于Web应用本身的身份验证机制上,简单来看存在该漏洞,其HTTP请求须满足以下三个条件:1、Web应用身份验证机制是基于Cookie形式的(Cookie形式的验证机制本身存在CSRF攻击风险);...
CSRF基础
blackguest07的博客
02-26 185
burp生成csrf漏洞利用代码,csrf漏洞挖掘过程中需要注意的点
springsecurity开启csrf拦截axios的post,put,delete请求的解决方案
GuiBing_haonan的博客
04-14 1033
首先,查找原因: 从Spring Security3.2开始,默认就会启用CSRF攻击。   Spring Security通过一个同步token的方式来实现CSRF防护。它会拦截状态变化的请求并检查CSRF token。如果请求不包含CSRF token,或token不能与服务器端的token相匹配,请求将会失败,并抛出CsrfException。 本文主要讲解的是基于springboot框架的解决方案 thymeleaf模板中,在您需要发送请求的表单加上隐藏的input: <input type=
django-csrf使用和禁用方式
09-17
Django 框架中,CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种重要的安全机制,用于防止恶意第三方在用户浏览器上伪造请求。DjangoCSRF 保护通常涉及在表单中添加一个隐藏字段 `...
详解DjangoCSRF认证实现
09-20
1. **CSRF中间件**:在Django的设置文件中,`MIDDLEWARE_CLASSES` 列表中包含 `'django.middleware.csrf.CsrfViewMiddleware'`,这个中间件会在每个请求处理流程中发挥作用。 2. **生成CSRF token**:当用户访问...
csrf 原理与解决方案
水墨江南
10-09 6391
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号...
CSRF——跨站请求伪造
weixin_42633359的博客
10-18 212
1、CSRF跨站请求伪造的流程 该过程存在三方:用户客户端、正常网站A、恶意攻击网站B(前提存在CSRF漏洞)   1、用户登陆了正常网站A输入了相关的验证信息。   2、正常网站将cookie写入浏览器,实现了状态保持   3、用户在未退出正常网站的情况下访问了恶意网站   4、恶意网站指定了action=“正常网站的url”,伪造了请求参数。   5、用户在主观未知的情况下,再次访问了正常网...
Django中使用Ajax时使用CSRF保护
silent_missile的博客
11-05 821
Django中使用Ajax时使用CSRF保护需要服务器设置CSRF的相关选项。并且在客户端读取特定的信息,然后采用特定的格式发送给服务器才能正确处理。
CSRF 攻击的应对之道
java旅程
09-06 482
转载自:http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。 **CSRF 攻击实例**
Spring boot的put请求
天高任鸟飞
09-09 9822
Put请求 Restful风格,修改发送put请求 修改时,页面发送put请求 Form表单页面 只支持get、post方式 实现方式 1、SpringMVC中配置HiddenHttpMethodFilter SpringBoot自动配置好的 2、页面创建一个post表单 3、创建一个input项,name=”_method” Value,值就是指定的请求方式 WebMv...
spring security 拦截了post put delete 请求 ,解决方案
july_young的博客
09-03 5276
使用spring security 做的安全框架时,会自动拦截post,put,delete等请求,这时因为spring security 开启了防止跨域访问攻击的配置,那么怎么解决呢?请往下看: 我使用了thymeleaf在网页的head中添加: &lt;meta name="_csrf" th:content="${_csrf.token}"/&gt; ...
form表单put方式提交处理
热门推荐
t314267105的博客
06-08 1万+
form表单put方式提交处理
使django支持PUT,DELETE的方案
__sebass博客
06-22 9601
第一种方案 修改ajax中type方式并设置header,同时对put重新构建数据字典 在对views中的方法进行类对象封装时,发现django并不支持像post和get一样将数据封装。 由于网页端无法设置method方法,在用postman和ajax开启pycharm对接口进行debug测试时发现:提交数据后并没有进入代码逻辑。 查阅资料得知,django支持put和delete方法...
DjangoCSRF保护引起的403 FORBIDDEN
ybdesire的专栏
09-03 1万+
Django写了一个API,专门处理客户端发来的POST请求。结果每一次客户端JS发送POST请求,都得到403的Error。Google搜“django 403 forbidden ajax post”,在神奇的stackoverflow上发现了答案 。 原来是DjangoCSRF保护机制导致的。CSRFCSRF是跨站点请求伪造,简单来说就是用户在访问受信任网站后,浏览器记录了受信任网站的co
Django 中关于csrf问题解决方式
冬凛的博客
10-19 1022
第一种方式:直接去掉警告,但不安全 第二种方式 在页面内写入csrf,
django关闭CSRF
07-17
csrf_exempt是Django中的一个装饰器,用于跳过请求中的CSRF检查。在视图函数中使用csrf_exempt装饰器后,该视图将不会受到DjangoCSRF保护机制的限制。这意味着POST、PUT、DELETE等请求将不被拒绝或抛出异常。但这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值