CSRF跨站请求伪造:django中如何攻击与防御

已于 2023-10-18 21:01:10 修改
阅读量351 收藏
点赞数
分类专栏: Django 网络安全 文章标签: django csrf python
于 2023-10-14 23:57:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010442378/article/details/133834186
版权

1、什么是CSRF

其目标是在用户不知情的情况下,以用户身份执行未经授权的操作。攻击者通过引诱用户访问恶意网站或点击包含恶意代码的链接,来伪造一个请求发送给服务器,来触发 CSRF 攻击。一旦用户被攻击,他们的登录凭据将被用于执行可能涉及敏感操作的请求,例如更改密码、发表评论、转账等。

2、原理

前提:用户登录网站后,浏览器会记录网站的cookie,当用户再次请求网站的时候,浏览器会把网站下的cookie带上发给服务器。
1、假如用户使用浏览器登录了淘宝网,并且浏览器已经保存了淘宝网的cookie
2、用户又打开一个标签登录了邮箱,打开邮件里的链接,该链接就是伪造的攻击链接
3、用户点击后会访问淘宝店铺的好评链接,此时浏览器已经有了用户的淘宝网的cookie,这次请求服务器就会认为是用户正常发送的,就会执行好评请求,这样就造成CSRF。

3、防护

1、检查Referer和Origin字段

HTTP请求头会默认带上Referer字段和Origin字段,Referer这个字段用以标明请求来源于哪个地址。Origin它表示请求的来源,即请求来自于哪个站点,Origin只包含服务器名。一般情况下,Origin和Referer字段应和请求的地址位于同一域名下。如果不是同一域名下,服务器就会识别为恶意访问。

2、使用CSRF令牌(CSRF Token)

在每个用户会话中生成一个随机的CSRF令牌,并将其嵌入到每个表单或敏感操作的请求中。这个令牌是服务器生成的,并与用户的会话相关联。服务器在接收到请求时会验证这个令牌的有效性,确保请求来自合法的源。攻击者无法获得有效的CSRF令牌,因此无法成功发起CSRF攻击。

3、Cookie的SameSite属性

在设置Cookie时,可以将SameSite属性设置为"Strict"或"Lax",以限制跨站请求的Cookie传递。这有助于减少CSRF攻击的成功率,Strict完全禁止,Lax相对宽松,None不做限制

4、django中的防护

1、首先在settings.py中启用CSRF保护

MIDDLEWARE = [
    # ...
    'django.middleware.csrf.CsrfViewMiddleware', # 开启CSRF中间件
    # ...
]

2、在所有包含表单的HTML模板中,确保包含{% csrf_token %}标签,会隐藏一个CSRF令牌

<form method="post" action="/example/">
  {% csrf_token %}
  <!-- 其他表单字段 -->
  <input type="submit" value="提交">
</form>

<!--会变成下面-->
<form method="post" action="/example/">
  <input type="hidden" name="csrfmiddlewaretoken" value="cxIrGQrJOzVN3NcleAjFEbYZfSE8LbIJuuPW6Vx7H3IliRg26FCQHgzMjwWWQp9u">
  <!-- 其他表单字段 -->
  <input type="submit" value="提交">
</form>

3、用户第一层访问网站时,django会随机生成一个csrftoken,放在浏览器的cookie中,后面每次请求的时候都会带上这个csrftoken
4、当用户提交表单的时候,CsrfViewMiddleware中间件会自动校验cookie和表单中的csrftoken是否一致,来判定是否是合法请求。
5、每次刷新表单的时候,csrfmiddlewaretoken会更新,而cookie中的csrftoken没变,如何校验呢?csrftoken只比较secret,token前32位是salt,后面是加密的token,通过salt能解密出唯一的secret,其实最终比较的是secret。

# CsrfViewMiddleware/process_view中
csrf_token = self._get_token(request) # 从cookie中获取csrftoken
request_csrf_token = request.POST.get('csrfmiddlewaretoken', '') # 从表单中获取csrfmiddlewaretoken

_compare_masked_tokens(request_csrf_token, csrf_token) # 比较

def _compare_masked_tokens(request_csrf_token, csrf_token):
    # Assume both arguments are sanitized -- that is, strings of
    # length CSRF_TOKEN_LENGTH, all CSRF_ALLOWED_CHARS.
    return constant_time_compare(
        _unmask_cipher_token(request_csrf_token),
        _unmask_cipher_token(csrf_token),
    )

def _unmask_cipher_token(token):
    """
    Given a token (assumed to be a string of CSRF_ALLOWED_CHARS, of length
    CSRF_TOKEN_LENGTH, and that its first half is a mask), use it to decrypt
    the second half to produce the original secret.
    """
    mask = token[:CSRF_SECRET_LENGTH]
    token = token[CSRF_SECRET_LENGTH:]
    chars = CSRF_ALLOWED_CHARS
    pairs = zip((chars.index(x) for x in token), (chars.index(x) for x in mask))
    return ''.join(chars[x - y] for x, y in pairs)  # Note negative values are ok

6、django后端实现,@csrf_exempt 装饰器用于关闭 CSRF 保护,即使在全局中间件中已经启用了 CSRF 保护。@csrf_protect 装饰器用于强制启用 CSRF 保护,即使在全局中间件中已经启用了 CSRF 保护。

from django.shortcuts import render
from django.views.decorators.csrf import csrf_exempt, csrf_protect

@csrf_exempt
def index(request):
    return render(request, 'index.html', locals())


@csrf_protect
def pay(request):
    pass
骇客567
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CSRF跨站请求伪造攻击防御
wohainengqiao的博客
08-27 213
文章目录简介攻击流程(简述)防御CSRF 简介 CSRF跨站请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性。 你可以这样理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 攻击流程(简述) 前提:其Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为W
怎么防止跨站请求伪造攻击CSRF)?
Learn-anything.cn
11-24 1397
一、CSRF 是什么? 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 二、实际攻击场景 下面用一个银行网站的转账功能,说明攻击原理。备注:涉及到 URL 等信息都是虚构。 1、登录账号 正常登录了一家银行网站,查看其后台信息后,没有退出登录; 假设这家银行操作转账的 URL
Python web实战之Django跨站请求伪造CSRF)保护详解
Rocky006的博客
08-16 1296
本文详细介绍了 Django 跨站请求伪造CSRF)保护机制。实际开发,仅仅靠CSRF机制并不是绝对安全的,还应该结合其他安全措施,综合多种技术来确保应用程序的安全性。
跨站请求伪造CSRF攻击原理及预防手段
慢慢
06-02 5663
随机化Token(CSRF Token):Token是用于验证网站请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求需要新的Token。例如,在web应用程序,可以通过hidden field的方式将Token加入到表单,提交时验Referer检查:在服务端校验请求Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
OriginReferer 的关系和区别
最新发布
qq_17335549的博客
01-12 1159
OriginReferer 的关系和区别。
CSRF跨站请求伪造攻击及防范
CSRF(Cross-Site Request Forgery)跨站请求伪造攻击是一种常见的网络安全漏洞,也被称为“海报攻击”或“一次性攻击”。攻击者利用用户已经登录过的网站的 Cookie 信息,诱导用户访问恶意网站,通过携带伪造请求...
Python Django框架防御CSRF攻击的方法分析
09-18
Python的Web开发框架DjangoCSRF(Cross-site request forgery,跨站请求伪造)是一种常见的安全威胁,它允许攻击者通过受害者在已登录的网站上的合法身份执行恶意操作。为了保护用户免受此类攻击Django提供...
详解利用django间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者诱使用户在当前已登录的Web应用程序上执行非本意的操作。这种攻击通常通过伪装成用户的合法请求来实现,比如通过恶意链接、电子邮件或...
django 简单会议室预约(1)
IMLiFeLong
06-21 3817
djangopython的一个web框架,为什么要用django,作者之前用过另一个框架flask,虽然flask比较简单很容易让人学,但是flask没有整体感,会让初学着茫然。 这里我们用django。 首先搭建环境: Ubuntu 14.04 Python 2.7.6 Django-1.4.20 django 安装: 1、先从https://www.djangoproject
django 简单会议室预约(6)
IMLiFeLong
07-20 3764
后台完了现在来看前端,前端用了一个bootstrap框架,看起来能好看点 先看一下文件结构:在djapp里创建了两个文件夹templates和static templates里面是要显示的页面,static里面是页面的图片、css、js 再来配置settings.py,告诉djapp静态文件的根目录 STATIC_URL = '/static/' MEDIA_PATH = './im
django 简单会议室预约(2)
IMLiFeLong
06-23 2767
我们先打开settings.py 配置文件: 1、先设置数据库,这里用的是mysql,数据库名dat01,用户root,密码123456.。。。 DATABASES = { 'default': { 'ENGINE': 'django.db.backends.mysql', 'NAME': 'dat01',
django 简单会议室预约(4)
IMLiFeLong
07-18 2199
基本的配置已经完成了,来看看最重要的views.py 先看看简单的注册登录功能,在django里有一个专门的模块用来验证用户信息 ;所以只需要调用就好了: #-*-coding:utf-8 -*- from django.shortcuts import render_to_response from django.template import RequestContext from
django 简单会议室预约(3)
IMLiFeLong
06-24 2015
URL配置: 今天配置一下URL,打开urls.py配置如下: from django.conf.urls import patterns, include, url import settings from djapp import views # from django.contrib import admin # admin.autodiscover() urlpatterns =
django 简单会议室预约(5)
IMLiFeLong
07-19 1953
再来看看views.py的后半部分,对数据库的增删改查 #获取学院列表 def get_acad_list(): room_list = ConfeRoom.objects.all() #对数据库的操作 acad_list = set() for room in room_list: acad_list.add(room.acad) return list(acad_list) #查
全网最全Django面试题整理(一)
IMLiFeLong
11-19 1209
django面试题
Django应用部署实战:从开发到生产,全程解析
IMLiFeLong
09-08 384
5)可以修改vim /etc/yum.repos.d/mysql-community.repo源,改变默认安装的mysql版本。MySQL官网密码策略详细说明:http://dev.mysql.com/doc/refman/5.7/en/validate-password-options-variables.html#sysvar_validate_password_policy。在MySQL官网下载YUM源rpm安装包:http://dev.mysql.com/downloads/repo/yum/
全网最全Django面试题整理(二)
IMLiFeLong
11-22 167
Django的模型(Model),模型字段用于定义数据库表的字段,每个字段对应表的一个列。模型字段定义了该列的数据类型、验证规则和其他属性。CharField(字符字段)用于存储短文本字符串,例如名称、标题等。IntegerField(整数字段)用于存储整数。FloatField(浮点数字段)用于存储浮点数。DateField(日期字段)用于存储日期。DateTimeField(日期时间字段)用于存储日期和时间。BooleanField(布尔字段)用于存储布尔值(True或False)。
Python Django快速建站指南:从入门到实践
5. 安全性与认证:探讨如何保护应用免受恶意攻击,包括身份验证、授权和CSRF跨站请求伪造防御。 6. 表单与用户交互:如何创建和处理用户输入,包括表单的创建、验证和数据绑定。 7. 高级主题:涉及的内容可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

骇客567

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值