[django] csrf

最新推荐文章于 2022-09-09 10:30:17 发布
最新推荐文章于 2022-09-09 10:30:17 发布
阅读量177 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44647926/article/details/119711828
版权
本文深入探讨了CSRF(跨站请求伪造)防护中的csrf_token生成与验证过程。csrf_token由32位的mask和cipher组成,其中mask随机生成,cipher基于随机生成的csrf_secret。在每次请求中,cookie中的csrftoken与表单中的csrftoken通过相同的csrf_secret解密对比,一致则验证通过。这种机制有效防止了非法请求,确保了Web应用的安全。
摘要由CSDN通过智能技术生成

原理
csrf_token生成
csrf_token:mask + cipher
mask:32位字母数字组合,随机生成。
cipher:32位字母数字组合,由csrf_secret生成。

通过随机生成一个32位的字母数字组合作为csrf_secret,然后通过随机的mask加上cipher(处理后的csrf_secret)生成cookie中的csrftoken和表单中的csrftoken。cookie中的csrf会长时间保留(有效期1年),每次表单中的的csrftoken都是根据它生成。
在这里插入图片描述 从上图可以看到首次访问时生成的cookie中的csrf_token的值和有效期。

csrf_token验证
由于cookie中的csrftoken和表单中的csrftoken由相同的csrf_secret生成,所以解密后如果两者的csrf_secret相同,则说明是正常的请求,通过验证。

加密
cipher_index = mask_index + secret_index

解密
secret_index = cipher_index - mask_index

更多处理细节请参考:django/middleware/csrf.py

诗与浪子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django CSRF认证的几种解决方案
09-17
### Django CSRF认证的几种解决方案 #### 一、CSRF攻击简介与原理 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的安全威胁,尤其在网络应用中较为常见。简单来说,CSRF攻击是攻击者利用受害者的...
vue-resource post数据时碰到Django csrf问题的解决
10-15
主要介绍了vue-resource post数据时碰到Django csrf问题的解决,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
django中间件生成csrf_token
fksfdh的博客
03-04 2416
class MiddlewareMixin: #django启动时就执行,与用户无关 def __init__(self, get_response=None): self.get_response = get_response super().__init__() def __call__(self, request): re...
django csrf_token生成
amo16617的博客
01-24 227
django模板中生成csrf_token的不同方式 系统环境CENTOS 6.4 python2.7.6 django 1.7.1 当post提交表单的的时候,是需要 csrf_token的, 它需要把request也添加到模板中,第二到第四个例子,会生成 csrf_token 当你用post提交表单,但是没有csrf_token的时候,会提示下面的错误: ...
4-1csrf基本概念和原理讲解
山兔的博客
07-09 201
CSRF漏洞概述  CSRF漏洞测试流程  CSRF(get/post)实验演示和解析  Anti CSRF token  常见CSRF防范措施Cross-site request forgery 简称为“CSRF”。 在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),把这个链接发送给目标用户 然后欺骗目标用户进行点击,用户一旦点击了这个请求,就会在目标的电脑上面,以目标的身份,提交了这个请求,这个请求是一个修改、删除、新增的这样一个操作,整个攻击也就完成了。所以CSRF攻击
Cookie和Session运用认识
liuguoxin_97的博客
10-22 242
Cookie和Session Cookie及Session一直以来都是Web开发中非常关键的一环,因为HTTP协议本身为无状态,每一次请求之间没有任何状态信息保持,往往我们的Web服务无法在客户端访问过程中得知用户的一些状态信息,比如是否登录等等;那么这里通过引入Cookie或者Seesion来解决这个问题。 当客户端访问时,服务端会为客户端生成一个Cookie键值对数据,通过Response响...
CSRF简介
热门推荐
qq_45803593的博客
05-12 4万+
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状 CSRF这种攻击方式在2000年
Django csrf 两种方法设置form的实例
09-19
### Django CSRF两种方法设置Form实例详解 #### 一、引言 Django 是一款非常流行的 Python Web 开发框架,它提供了强大的功能来帮助开发者构建安全可靠的 Web 应用程序。其中,跨站请求伪造(Cross-Site Request ...
Django csrf 验证问题的实现
09-20
csrf是通过伪装来自受信任用户的请求来利用受信任的网站。这篇文章主要介绍了Django csrf 验证问题的实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
django-csrf使用和禁用方式
12-20
Django CSRF(跨站请求伪造)是Web应用中一种安全机制,用于防止恶意第三方伪造用户的请求。在Django框架中,CSRF保护是默认启用的,以确保只有合法的用户操作才能被执行。以下是对标题、描述和标签内容的详细解释:...
SECRET KEY - CSRF
Lyncai的专栏
02-10 656
secret key 与 csrf
关于 CSRF(跨站请求伪造)
最新发布
辉小鱼的博客
09-09 331
攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。. 利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
php token过期时间,Laravel 安全:CSRF Token 过期时间
weixin_42513387的博客
03-24 1831
问题Laravel 会对所有的 POST 数据默认开启 CSRF 防护,实现的机制是检测 POST 数据里的 _token 信息。问题是:CSRF _token 的过期时间是多久?回答会在每一次 Session 创建时重新生成,也就是说,跟会话的时间一致,Laravel 默认为 120 分钟,可以通过修改 config/session.php 文件里的 lifetime 修改。来源...class...
浅知CSRF
qq_51558360的博客
01-21 195
CSRF概述 CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会觉得是这是真正的用户操作而去运行。 这就利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 其实可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。 CSRF的原理 从上图能够看出,要
WEB安全-CSRF攻击原理
LJH1999ZN的博客
02-18 596
一、什么是CSRF漏洞的 跨站请求伪造(Cross-site request forgery),通常简称为CSRF或者XSRF。是一种通过借用用户的权限在网站上执行并非自己本意的操作。 二、CSRF漏洞具体可以干什么 以你的名义(发邮件;发消息;修改密码;转账;购买商品等) 三、CSRF成立的必要条件 1.受害者没有退出当前页面,也就是说cookie值没有过期。 2.受害者点击了攻击者所发送的恶意连接。 四、CSRF漏洞的原理 首先当用户登录并浏览一个可信网站时,攻击者发送一个恶意链接,用户
跨域post 及 使用token防止csrf 攻击
ymark
12-30 3万+
1.利用iframe进行跨域post提交 2.csrf的攻击和防御措施 3.使用token保护请求 4.关于webapp跨域提交的问题
CSRF基本概念
Ethan024的博客
03-20 258
CSRF基本概念 CSRF(Cross-Site Request Forgery, 跨站请求伪造) 攻击者伪造一个请求(一般是个链接),欺骗目标用户点击。用户点击这个请求,攻击完成。 CSRF攻击条件: 网站没有对个人信息修改的请求进行防CSRF处理,导致请求容易被伪造; 受害者必须登录该网站,并且点击该链接 示例: 正常情况下,Jack想编辑个人信息,因此修改自己的新地址: http://www.xxxx.com/sex=男&phonenum=123456&add=地球村56789
Djangocsrf-token验证原理
bocai_xiaodaidai的博客
09-19 2394
众所周知,django通过CsrfViewMiddleware中间件来下发和校验csrf-token有效性的。 那么,这个中间到底是怎么实现token校验的呢? 首先,django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 csrftoken,并把这个 csrftoken 放在 cookie 里。然后每次 POST 请求都会带上这个 csrftoken。(这个csrftoken的有效期非常长(52周)) 在前后端不分离的django项目中,可以通过{%csrf_token%}标签在表
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值