django跨站请求伪造(csrf)解决方法

最新推荐文章于 2023-04-09 20:02:01 发布
最新推荐文章于 2023-04-09 20:02:01 发布
阅读量329 收藏
点赞数
分类专栏: django 文章标签: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/syuuenn/article/details/92798270
版权

我们写一个简单的前端网页

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>修改密码</title>
</head>
<body>
    <form method="post" action="/user/updatepwd/">
        用户名<input type="text" name="username">
        旧电话<input type="text" name="oldpho">
        新电话<input type="text" name="newpho">
        <input type="submit" value="确认">
    </form>
</body>
</html>

再写相应的视图函数

def updatepwd(request):
    from user.models import UserInfo
    if request.method=='GET':
        return render(request,'updatepwd.html')
    else:
        username=request.POST.get('username')
        oldpho=request.POST.get('oldpho')
        newpho=request.POST.get('newpho')
        try:
            data=UserInfo.objects.get(name=username,phone=oldpho)
            print(data)
        except:
            return HttpResponse('错误')
        else:
            # user=UserInfo()
            # user.phone=newpho
            # user.save()
            UserInfo.objects.update(
                phone=newpho
            )
        return HttpResponse('ok')

写好URL开启后端服务器
浏览器访问此页面,可以正常访问
在这里插入图片描述
填入数据提交,遇到了这个报错
在这里插入图片描述
这是因为第一次访问是get请求,第二次是post请求需要发送数据,而django自带防御跨站请求伪造组织这次请求,有两种解决方式。
第一种在前端代码中加入{%csrf_token%}
第二种在setting.py文件中关闭CSRF防御,如下代码注释掉此中间件

MIDDLEWARE = [
    'corsheaders.middleware.CorsMiddleware',
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    # 'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

注意第二种方法一般只用于调试。

syuuenn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django CSRF跨站请求伪造防护过程解析
09-18
主要介绍了Django CSRF跨站请求伪造防护过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Django跨站请求伪造
月守护的博客
07-18 317
一、简介 django为用户实现防止跨站请求伪造的功能,通过中间件django.middleware.csrf.CsrfViewMiddleware 来完成。 1.客户端在非Django返回页面上发送post请求时,会被Django拦截,但非服务器报错 2.客户端在Django返回页面上发送post请求时,需要加上{% csrf_token %}放能发送成功 而对于django中设置防跨站请求伪造...
django 跨站请求伪造(csrf)
lucky404的博客
03-03 234
django跨站请求伪造的中间件是在配置文件settings.py里面配置的。 如下图的红色部分就是。 已经被我注释掉了(现在我将会把它启用)这个中间件的作用是,当被认为某个用户不是自己网站的用户给网站post数据的时候,就会被服务器端禁止掉。为了就是防止那些用户从来没有访问过网站的,直接给网站post数据。要想解决这个问题就是给是属于这个网站的用户加一个标识。不是网站用户的,就不加标识...
DjangoCSRF跨站请求伪造
weixin_38894162的博客
01-13 178
一、简介 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。 全局: 中间件 django.middleware.csrf.CsrfViewMiddleware 局部: @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便...
django 跨站请求伪造
盖乌斯的博客
05-02 440
def login(request): if request.method == 'POST': user = request.POST.get('username',None) pwd = request.POST.get('password',None) if user == 'alex' and pwd =='123': request.session['is_login...
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
Django中如何防范CSRF跨站请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF跨站请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Django框架之跨站请求伪造
weixin_30578677的博客
09-04 92
跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 例如: 如果用户登录网络银行去...
django请求伪造(CORS)
syuuenn的博客
07-01 419
django前后端分离时,如果前端访问后端会出现如下报错。 原因是前后端分离,后端和前端处于不同的域名。 解决方法。 (1)安装第三方包 pip install django-cors-headers (2)在setting.py文件添加下列代码 添加应用 添加中间件 添加前端域名为白名单,允许携带cookie ...
Django框架全面讲解 -- 跨站请求伪造csrf
shentong1的专栏
12-18 495
django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。全局:中间件 django.middleware.csrf.CsrfViewMiddleware 局部:@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中
解决django前后端分离csrf验证的问题
12-31
第一种方式ensure_csrf_cookie 这种方方式使用ensure_csrf_cookie 装饰器实现,且前端页面由浏览器发送视图请求,在视图中使用render渲染模板,响应给前端,此时这个渲染模板的视图函数上要加上这个装饰器 这种方式保证了模板返回时,前端接收到的响应中有csrftoken这个cookie,方法见代码。 以上方法并没有严格意义的前后分离,如果模板中有form表单,可以直接在模板中添加{% csrf_token %}。 第二种方式 前后完全分离,前端页面直接通过获取静态文件得到,然后直接发送ajax请求,得到csrftoken,此时需要一个视图函数来返回token值
Django中间件之csrf跨站请求伪造
weixin_46407419的博客
03-10 285
csrf跨站请求伪造 CSRF(Cross Site Request Forgery) 跨站请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。如果从名字你还不不知道它表示什么,你可以这样理解:攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私...
Django学习记录之——csrf跨站请求伪造校验
wcy的博客
06-04 396
文章目录csrf跨站请求伪造csrf跨站请求伪造校验django完成csrf校验form表单校验ajax进行校验csrf装饰器FBVCBV csrf跨站请求伪造 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出
django-csrftoken跨站请求伪造
pyhui的技术博客
09-06 175
隐藏域的演示 获取了隐藏域,依旧伪造
CSRF跨站请求伪造(防止黑客攻击)
01-15 3380
案例演示 正常逻辑访问:用户名和密码是写死的: 如果输入成功就重定向到转账界面来输入用户名和密码:跳转到转账界面了, 接下来我们输入账号和金额:点击转账会做什么呢?我们先来看一下:哦, 原来是执行转账(假装),然后打印一下结果:伪造逻辑(csrf发生过程): 现在来一个黑客,要利用csrf来攻击你的转账界面: 那他就先来了解了一下你的转账界面:知道了你转账的请求的url,就是当前界面 转账所带...
Django CSRF跨站请求伪造的禁用和使用
彭世瑜的博客
11-16 1191
CSRF (Cross-site request forgery) Django后台设置 全局和局部设置 # 全站使用 'django.middleware.csrf.CsrfViewMiddleware', # 局部禁用 from django.views.decorators.csrf import csrf_exempt @csrf_exempt def cs...
Django网络安全】如何正确防护CSRF跨站请求伪造
黎明总是如期而至
04-09 726
CSRF(Cross-site request forgery),中文名跨站请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器中的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
保护您的 ASP.NET 应用程序
Lassewang的成长历程
02-03 1304
在上一期中,我讨论了构建 Web 应用程序安全性的重要性,并介绍了包括 SQL 注入和参数篡改在内的一些攻击类型,以及如何防范这些类型的攻击 (msdn.microsoft.com/magazine/hh580736)。 在本文中,我将深入探讨以下两种更常见的攻击,以帮助完善我们的应用程序保护体系:跨站点脚本 (XSS) 和跨站请求伪造 (CSRF)。 您可能很想知道: 只使用生产安全扫
一个比较好用的CSRF跨站请求伪造工具类
孔方子的博客
02-25 667
前言描述:最近项目里,安全测试组发现通过SQL注入可以轻松登录后台管理系统,于是就加了个CSRF跨站请求伪造功能,防止被恶意登录。 以下是代码部分: package com.faw.***.common.xss; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; ...
Django中的CSRF(跨站请求伪造)
最新发布
05-21
Django中的CSRF是一种安全机制,可以防止跨站请求伪造攻击。在Django中,默认情况下,所有的POST、PUT、DELETE请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。 具体来说,Django在生成表单时会自动在表单中添加一个隐藏的input元素来存储CSRF令牌,例如: ```html <form method="post"> {% csrf_token %} <!-- 其他表单元素 --> </form> ``` 当用户提交表单时,Django会验证请求中的CSRF令牌是否与服务器端生成的令牌匹配。如果不匹配,则Django会抛出一个`CSRFTokenError`异常,阻止请求继续进行。 除了在表单中添加CSRF令牌外,还可以使用Django提供的`csrf_exempt`装饰器来排除某个视图函数或类的CSRF验证,例如: ```python from django.views.decorators.csrf import csrf_exempt from django.http import HttpResponse @csrf_exempt def my_view(request): # 不进行CSRF验证的代码 return HttpResponse('OK') ``` 需要注意的是,如果你关闭了CSRF验证,或者在某些情况下不使用CSRF令牌,那么你需要确保其他安全措施的存在,以保证你的应用程序不会受到跨站请求伪造攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值