Django的csrf中间件源码解析

最新推荐文章于 2023-03-14 00:56:03 发布
最新推荐文章于 2023-03-14 00:56:03 发布
阅读量323 收藏
点赞数
分类专栏: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_30812239/article/details/98201050
版权
本文详细分析了Django的CsrfViewMiddleware中间件,包括process_request、process_view和process_response三个关键方法。process_request检查csrf_token的有效性,process_view负责校验csrf_token,若未找到将引发错误,而process_response则处理响应阶段的相关操作。
摘要由CSDN通过智能技术生成

Django的csrf中间件源码解析:‘django.middleware.csrf.CsrfViewMiddleware’

class CsrfViewMiddleware(MiddlewareMixin):
    """
    Middleware that requires a present and correct csrfmiddlewaretoken
    for POST requests that have a CSRF cookie, and sets an outgoing
    CSRF cookie.

    This middleware should be used in conjunction with the csrf_token template
    tag.
    """
    # The _accept and _reject methods currently only exist for the sake of the
    # requires_csrf_token decorator.
    def _accept(self, request):
        # Avoid checking the request twice by adding a custom attribute to
        # request.  This will be relevant when both decorator and middleware
        # are used.
        request.csrf_processing_done = True
        return None

    def _reject(self, request, reason):
        logger.warning(
            'Forbidden (%s): %s', reason, request.path,
            extra={
                'status_code': 403,
                'request': request,
            }
        )
        return _get_failure_view()(request, reason=reason)

    def _get_token(self, request):
        if settings.CSRF_USE_SESSIONS:
            try:
                return request.session.get(CSRF_SESSION_KEY)
            except AttributeError:
                raise ImproperlyConfigured(
                    'CSRF_USE_SESSIONS is enabled, but request.session is not '
                    'set. SessionMiddleware must appear before CsrfViewMiddleware '
                    'in MIDDLEWARE%s.' % ('_CLASSES' if settings.MIDDLEWARE is None else '')
                )
        else:
            try:
                cookie_token = request.COOKIES[settings.CSRF_COOKIE_NAME]
            except KeyError:
                return None

            csrf_token = _sanitize_token(cookie_token)
            if csrf_token != cookie_token:
                # Cookie token needed to be replaced;
                # the cookie needs to be reset.
                request.csrf_cookie_needs_reset = True
            return csrf_token

    def _set_token(self, request, response):
        if settings.CSRF_USE_SESSIONS:
            request.session[CSRF_SESSION_KEY] = request.META['CSRF_COOKIE']
        else:
            response.set_cookie(
                settings.CSRF_COOKIE_NAME,
                request.META['CSRF_COOKIE'],
                max_age=settings.CSRF_COOKIE_AGE,
                domain=settings.CSRF_COOKIE_DOMAIN,
                path=settings.CSRF_COOKIE_PATH,
                secure=settings.CSRF_COOKIE_SECURE,
                httponly=settings.CSRF_COOKIE_HTTPONLY,
            )
            # Set the Vary header since content varies with the CSRF cookie.
            patch_vary_headers(response, ('Cookie',))

    def process_request(self, request):
        csrf_token = self._get_token(request)
        if csrf_token is not None:
            # Use same token next time.
            request.META['CSRF_COOKIE'] = csrf_token

    def process_view(self, request, callback, callback_args, callback_kwargs):
        if getattr(request, 'csrf_processing_done', False):
            return None

        # Wait until request.META["CSRF_COOKIE"] has been manipulated before
        # bailing out, so that get_token still works
        if getattr(callback, 'csrf_exempt', False):
            return None

        # Assume that anything not defined as 'safe' by RFC7231 needs protection
        if request.method not in ('GET', 'HEAD', 'OPTIONS', 'TRACE'):
            if getattr(request, '_don
最低0.47元/天 解锁文章
CHJXBT
关注
专栏目录
django中间件CsrfViewMiddleware源码分析,探究csrf实现
qq_27952549的博客
09-05 1690
Django Documentation csrf保护基于以下: 1. 一个CSRF cookie 基于一个随机生成的值,其他网站无法得到。此cookie由CsrfViewMiddleware产生。它与每个调用django.middleware.csrf.get_token()(这是一个用于取回CSRF token的方法)的响应一起发送,如果它尚未在请求上设置的话。为了防止BREACH攻击,t...
Django_CSRF_原理分析
Golang & Python 我的最爱
09-19 2074
关于CSRFCSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。
Django csrf源码解析(DRF会避开 csrf 因为其类 APIView 继承了Django框架的 View 并重写了 as_view 方法)
cpxsxn的博客
08-15 567
本文要说明一个问题: Django 后端什么时候会让前端在 cookie 中的写 crsftoken? 是每次请求都会写一个新的 crsftoken 吗? C:\Python27\Lib\site-packages\django\middleware\csrf.py def _sanitize_token(token): # Allow only alphanum if le...
djangocsrf中间件
Poor - Because you have no ambition
08-14 305
Djangocsrf中间件 CSRF:跨站请求伪造Cross Site Request Forgery CSRF的攻击流程 用户a 访问可信站点1做业务处理,此时浏览器会保存该网站的cookie,当用户a 访问不可信站点2时,如果站点2有指向站点1的链接时候,那么攻击就用可能发生 Eg: 1、包含站点1的链接,点击跳转 2、img 的src属性值是站点1的链接 3、Js加载,js...
Django进阶:CSRF源码分析,分页器,中间件,缓存,信号详解
Zijian Su的博客
03-04 426
文章目录引子CSRFCSRF是啥子玩意啊CSRF有啥作用中间件中间件是啥玩意中间件干啥用的自定义中间件缓存缓存是什么以及干啥的Django支持的缓存缓存的应用 引子 比如我想和我的某个同学去吃饭,但是我和他前面隔着好几排人,我要找到她,那我就得穿过这几排人 CSRF CSRF是啥子玩意啊 它叫防跨站请求伪造,之前很多同学刚初学Django,可能会直接把CSRF中间件给去掉,或者在表单上加个{% c...
django 3.0.x源码文件
12-14
`django.middleware`模块包含了各种预定义的中间件,如CSRF保护、会话管理等。开发者可以通过编写自定义中间件来扩展Django的功能。 **7. 表单和验证** `django.forms`模块提供了表单和字段的定义,以及数据验证...
一起学习Django框架(十)Django中间件;浅谈CSRF_TOKEN
Simple子夜
04-18 1418
目录Django中间件(MiddleWare)一、什么是中间件二、中间件的作用三、自定义中间件3.1 process_request与process_response方法3.2 process_view方法3.3 process_exception3.4 process_template_responseCSRF_TOKEN一、CSRF是什么二、CSRF攻击原理三、CSRF攻击防范 Django中间件(MiddleWare) 中间件本身是一个很大的范围,比如:数据库中间件、服务器中间件、消息队列中间件等等
详解DjangoCSRF认证
renpingsheng66的博客
10-08 190

 1.csrf原理 csrf要求发送post,put或delete请求的时候,是先以get方式发送请求,服务端响应时会分配一个随机字符串给客户端,客户端第二次发送post,put或delete请求时携带上次分配的随机字符串到服务端进行校验 2.Django中的CSRF中间件 首先,我们知道Django中间件作用于整个项目。 在一个项目中,如果想对全局所有视图函数或视...
简析django源码中对csrf的处理
nibuyaoshiwang的博客
01-13 182
csrf 跨站点请求伪造(Cross—Site Request Forgery),具体过程如下: 用户登录后访问某网站A,将cookies存在浏览器。 在未退出的情况下访问另一个网站B,这时候携带的信息就会全部发给B。 网站B拿着你的信息又去访问A,这样就造成了跨站请求伪造。 解决方案 检验http headers中的Referer,它的内容就是这次http请求的网站地址。对于服务端来说,在请求头部信息里我们可以过滤出有害请求地址的黑名单。 添加随机参数token,来每一次请求到来后,对比token值
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
主要介绍了详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。 教你如何在AJAX请求上设置令牌。
$Django 中间件 csrf
weixin_30354675的博客
11-23 92
中间件-中间件是什么?请求和响应之间的一道屏障-中间件作用:控制请求和响应-django中内置几个中间件process_request(self,request)process_view(self, request, callback, callback_args, callback_kwargs)process_template_response(self,req...
Djangocsrf中间件
m0_37906230的博客
11-30 330
Djangocsrf中间件 CSRF:跨站请求伪造Cross Site Request Forgery CSRF的攻击流程 用户a 访问可信站点1做业务处理,此时浏览器会保存该网站的cookie,当用户a 访问不可信站点2时,如果站点2有指向站点1的链接时候,那么攻击就用可能发生 Eg: 1、包含站点1的链接,点击跳转 2、img 的src属性值是站点1的链接 3、Js加载,js里有跳转的动作...
Django 中间件,csrf
weixin_30348519的博客
06-19 98
Django 中间件,csrf 1、中间件简介 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。每个中间件组件都负责做一些特定的功能。 但是由于其影响的是全局,所以需要谨慎使用,使用不当会影响性能。 说的直白一点中间件是帮助我们在视图函数执行之前和执行之后都可以做一些额外的操作,它本质...
DjangoCSRF原理与中间件
WOSHIBEIZHE的博客
10-30 326
CSRF 我们在开始学习Django时通常教学会让我们把setting中的CSRF注释掉,那么我们为什么要注释掉呢,我们首先来尝试下不注释掉会发生什么?不注释的话,正常get请求是没有问题的,当我们发送post请求时,就会报错403 表单提交 那么这是为什么呢,我们先来说说CSRF的原理,例如当用户想要登录,输入了账号密码,CSRF就会返回一串字符给用户,用户每一次请求都带着此串字符才能正常操作,我们在form表单中添加 {% csrf_token %}即可表单带着csrf提交 ajax提交 {% csr
Django中间件执行流程和CSRF验证
FanMLei的博客
11-28 2879
中间件执行流程 django中间件是一个轻量级的插件,可以改变django的输入和输出,中间件共有5种方法,分别为: process_request(self,request) process_view(self, request, callback, callback_args, callback_kwargs) process_template_response(self,reque...
Django中间件详解
最新发布
al6nlee的博客
03-14 2792
本文介绍了Django生命周期图,Django内置的中间件、自定义一个中间件、详细介绍了CsrfViewMiddleware中间件
Django CSRF保护机制深度解析
- 除了使用DjangoCSRF中间件,还应该确保所有的敏感操作(如修改数据、删除资源)都通过POST、PUT或DELETE等需要CSRF令牌的请求完成。 - 对于API接口,特别是采用JSON或其他非HTML格式的接口,可能需要额外的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值