Django框架全面讲解 -- 跨站请求伪造(csrf)

最新推荐文章于 2022-08-22 15:25:31 发布
最新推荐文章于 2022-08-22 15:25:31 发布
阅读量495 收藏 1
点赞数
分类专栏: Django 文章标签: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shentong1/article/details/78829804
版权

django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。

全局:

中间件 django.middleware.csrf.CsrfViewMiddleware

局部:

@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
@csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

注:from django.views.decorators.csrf import csrf_exempt,csrf_protect

  在Django1.10中,为了防止BREACH攻击,对cookie-form类型的csrf做了一点改进,即在cookie和form中的token值是不相同的

应用
1、普通表单

veiw中设置返回值:
     return render(request, 'xxx.html', data)

html中设置Token:
  {% csrf_token %}

2、Ajax
对于传统的form,可以通过表单的方式将token再次发送到服务端,而对于ajax的话,使用如下方式。

# view.py

from django.template.context import RequestContext
# Create your views here.


def test(request):

    if request.method == 'POST':
        print request.POST
        return HttpResponse('ok')
    return  render_to_response('app01/test.html',context_instance=RequestContext(request))
# text.html

<!DOCTYPE html>
<html>
<head lang="en">
    <meta charset="UTF-8">
    <title></title>
</head>
<body>
    {% csrf_token %}

    <input type="button" onclick="Do();"  value="Do it"/>

    <script src="/static/plugin/jquery/jquery-1.8.0.js"></script>
    <script src="/static/plugin/jquery/jquery.cookie.js"></script>
    <script type="text/javascript">
        var csrftoken = $.cookie('csrftoken');

        function csrfSafeMethod(method) {
            // these HTTP methods do not require CSRF protection
            return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
        }
        $.ajaxSetup({
            beforeSend: function(xhr, settings) {
                if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
                    xhr.setRequestHeader("X-CSRFToken", csrftoken);
                }
            }
        });
        function Do(){

            $.ajax({
                url:"/app01/test/",
                data:{id:1},
                type:'POST',
                success:function(data){
                    console.log(data);
                }
            });

        }
    </script>
</body>
</html>

更多:https://docs.djangoproject.com/en/dev/ref/csrf/#ajax

huster12-zoujm
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
secure-django:安全django博客
03-04
1. **Django安全框架基础**:Django内置了许多安全特性,如CSRF请求伪造)防护、XSS(脚本)过滤、SQL注入预防等。在构建博客时,应充分利用这些机制,例如通过`@csrf_protect`装饰器保护表单提交,使用`{...
简单了解django处理请求最佳解决方案
09-17
主要介绍了简单了解django处理请求最佳解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Django | 安全防护】CSRF请求和SQL注入攻击
计算机魔术师的blog
08-22 3951
一、演示CSRF漏洞 二、环境准备 三、模拟黑客🐱‍👤 四、解决办法 五、SQL注入攻击漏洞
django解决请求问题
Hero_s_的博客
04-02 1257
1、安装django-cors-headers模块 pip install django-cors-headers 2、修改setting.py中的配置 INSTALLED_APPS = [ 'django.contrib.admin', 'django.contrib.auth', 'django.contrib.contenttypes', 'django.contrib.sessions', 'django.contrib.messages', 'dj
Django请求伪造
月守护的博客
07-18 317
一、简介 django为用户实现防止请求伪造的功能,通过中间件django.middleware.csrf.CsrfViewMiddleware 来完成。 1.客户端在非Django返回页面上发送post请求时,会被Django拦截,但非服务器报错 2.客户端在Django返回页面上发送post请求时,需要加上{% csrf_token %}放能发送成功 而对于django中设置防请求伪造...
django请求访问
weixin_34387468的博客
09-16 169
一、简介 django为用户实现防止请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防请求伪造功能有分为全局和局部。 全局:   中间件 django.middleware.csrf.CsrfViewMiddleware 局部: @csrf_protect,为当前函数强制设置仿...
Python全栈9期(第五部分):django高级
08-01
学到的不仅仅只是Python,还有培养编程思想! 2018年最新全套视频《Python全栈9期》。内容涵盖:Python基础、并发编程、前端、vue.js、MySQL、Django、Flask、Tornado、rest API、分布式爬虫 等等等...
django-blog.rar_django_django blog
09-23
9. **中间件(Middleware)**:中间件是一类可以全局改变请求和响应的组件,例如处理CSRF请求伪造)防护。 10. **静态文件与媒体文件**:Django管理静态文件(如CSS、JavaScript)和用户上传的媒体文件。 11...
基于python-Django从0创建一个博客系统.zip
最新发布
10-10
例如,可以编写中间件来记录请求日志,或者实现请求伪造CSRF)保护。 8. 静态文件与媒体文件管理: Django提供了处理静态文件(如CSS、JavaScript、图片)和用户上传的媒体文件的方法。在部署时,需要配置...
Python开发工程师学会用 Django 框架实现功能:理解 HTTP.zip
05-21
此外,Django提供了中间件(Middleware)机制,这是一个可以全局影响请求和响应过程的组件,用于实现如日志记录、用户认证、CSRF请求伪造)保护等功能。 在这个压缩包中包含的"Python开发工程师学会用 Django...
Python开发工程师学会用 Django 框架实现功能Ns 的用户.zip
05-21
7. **CSRF保护**:Django提供了请求伪造CSRF)防护,确保用户提交的数据来自受信任的来源,增强应用安全性。 8. **Session和Cookie管理**:Django的session机制用于在服务器端存储用户会话信息,而cookie则在...
Django CSRF请求伪造防护过程解析
09-18
主要介绍了Django CSRF请求伪造防护过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Django 多方式实现域访问
m0_56966142的博客
03-16 5666
一、什么是域 1.1 越介绍 域,是指浏览器不能执行其他网的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。 这里说明一下,无法域是浏览器对于用户安全的考虑,如果自己写个没有同源策略的浏览器,完全不用考虑域问题了。 域可以理解为:协议 + 域名 + 端口号 在前后端不分离的项目中,前端使用ajax发起请求时,前端发起请求的域与后端定义API的域一致,故不会存在域问题 在前后端分离的项目中,前端使用ajax或者axios发起请求,前后端各自运行在自己的域下,所
Django 配置CSRF请求伪造)保护
qq_39046786的博客
06-16 2534
Django 配置CSRF请求伪造)保护 配置 在项目的setings.py文件中 添加如下。 MIDDLEWARE = [ 'django.middleware.csrf.CsrfViewMiddleware', ] 请求伪造保护实现主要分为两步 第一步: DjangoCSRF 保护要求请求的Referer 标头与标头中存在的来源相匹配Host。例如,这可以防止针对 的POST请求subdomain.example.com成功api.example.com。如果您需要
django 请求伪造
盖乌斯的博客
05-02 440
def login(request): if request.method == 'POST': user = request.POST.get('username',None) pwd = request.POST.get('password',None) if user == 'alex' and pwd =='123': request.session['is_login...
Django2.0 中完美解决请求的问题
热门推荐
IT小村
07-28 1万+
一、前言 Django 1.x 版本修改一些配置的名称,如: 版本 settings.py 中间件名称 2.x MIDDLEWARE 1.x INSTALLED_APPS 设置请求的时候要注意 二、操作 操作前 1.安装 django-cors-headers django-cors-headers 2.修改 setti...
DjangoCSRF请求伪造
weixin_38894162的博客
01-13 178
一、简介 django为用户实现防止请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防请求伪造功能有分为全局和局部。 全局: 中间件 django.middleware.csrf.CsrfViewMiddleware 局部: @csrf_protect,为当前函数强制设置防请求伪造功能,即便...
DjangoCSRF(请求伪造)
weixin_30725467的博客
08-31 81
一丶什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是请求伪造。那么什么是请求伪造呢?让我一个词一个词的解释: 1、:顾名思义,就是从一个网到另一个网。 2、请求:即HTTP请求。 3、伪造:在这里可以理解为仿造、伪装。 综合起来的意思就是:从一个网A中发起一个到网B的请求,而这个请求是经过了伪装的,伪装操作达到的目的...
Django中的CSRF(请求伪造)
05-21
Django中的CSRF是一种安全机制,可以防止请求伪造攻击。在Django中,默认情况下,所有的POST、PUT、DELETE请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。 具体来说,Django在生成表单时会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值