Django_CSRF_原理分析

最新推荐文章于 2024-04-28 07:45:00 发布
最新推荐文章于 2024-04-28 07:45:00 发布
阅读量2k 收藏
点赞数
分类专栏: web开发 文章标签: django csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011715678/article/details/48561181
版权
本文详细解析了CSRF攻击的原理,包括攻击者如何利用受害者的cookie进行非法操作。并介绍了防御CSRF的三种策略:验证HTTP Referer字段、在请求中添加token并验证、在HTTP头中自定义属性并验证。重点讨论了Django框架在CSRF防护中的实现,即在请求中添加token并验证,以及Django中csrftoken的生成和匹配过程。
摘要由CSDN通过智能技术生成

关于CSRF:

CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。

CSRF防护原理:

直接举一个攻击例子:CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作。比如说,受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/withdraw?account=bob&amount=1000000&for=bob2 可以使 Bob 把 1000000 的存款转到 bob2 的账号下。通常情况下,该请求发送到网站后,服务器会先验证该请求是否来自一个合法的 session,并且该 session 的用户 Bob 已经成功登陆。黑客 Mallory 自己在该银行也有账户,他知道上文中的 URL 可以把钱进行转帐操作。Mallory 可以自己发送一个请求给银行:http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory。但是这个请求来自 Mallory 而非 Bob,他不能通过安全认证,因此该请求不会起作用。这时,Mallory 想到使用 CSRF 的攻击方式,他先自己做一个网站,在网站中放入如下代码: src=”http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory ”,并且通过广告等诱使 Bob 来访问他的网站。当 Bob 访问该网站时,上述 url 就会从 Bob 的浏览器发向银行,而这个请求会附带 Bob 浏览器中的 cookie 一起发向银行服务器。大多数情况

最低0.47元/天 解锁文章
AosenZhang
关注
专栏目录
DjangoCSRF原理与中间件
WOSHIBEIZHE的博客
10-30 324
CSRF 我们在开始学习Django时通常教学会让我们把setting中的CSRF注释掉,那么我们为什么要注释掉呢,我们首先来尝试下不注释掉会发生什么?不注释的话,正常get请求是没有问题的,当我们发送post请求时,就会报错403 表单提交 那么这是为什么呢,我们先来说说CSRF原理,例如当用户想要登录,输入了账号密码,CSRF就会返回一串字符给用户用户每一次请求都带着此串字符才能正常操作,我们在form表单中添加 {% csrf_token %}即可表单带着csrf提交 ajax提交 {% csr
DjangoCSRF原理
theskylife的博客
12-08 333
1.CSRF介绍 csrf,跨站请求伪造,也被称为"One Click Attack"或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 为了防止这种现象,需要在Ajax提交时,为form表单添加一个随机字符串,以避免被恶意篡改。Django中为了实现这一功能,可以通过在settings文件中,使用以下中间件: django.middleware...
DjangoCSRF原理及应用详解
热门推荐
AlexGeek
09-22 1万+
 Web开发中十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造(CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
简述Django中的CSRF的实现原理
summerriver1的博客
07-04 304
简述Django中的CSRF的实现原理
DjangoCSRF攻击原理及其防御方式
Shaun_X
03-18 918
攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。
django框架CSRF防护原理与用法分析
12-31
本文实例讲述了django框架CSRF防护。分享给大家供大家参考,具体如下: CSRF防护 一、什么是CSRFCSRF: Cross-site request forgery,跨站请求伪造 用户登录了正常的网站A, 然后再访问某恶意网站,该恶意网站...
Django 024】中间件Middleware(三):Django自带csrf中间件源码分析以及跳过csrf报错的四种方法
T型人小付的博客
04-17 1062
Django作为一个重量级框架,其已经事先为我们内置了很多安全模块,CSRF中间件就是其中之一。那么究竟什么是CSRF,其中间件工作原理是怎样的,我们又应该如何去使用CSRF呢。这一篇文章我们一起来深入学习一下。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录什么是CSRFCSRF的防范策略Django中的...
Django_Covid_Resources_Website
05-14
【标题】"Django_Covid_Resources_Website"是一个基于Django框架开发的项目,...通过学习和分析这个项目,开发者可以深入理解Django的工作原理和最佳实践,同时也能了解到如何在现实世界中应用Web技术解决实际问题。
Django框架学习16--csrf防御机制及原理
铁马冰河入梦来
12-20 1327
csrf攻击说明 1.用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3.用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 4.网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A; 5.浏览器在接收...
Django CSRF
光明小学王小雨的博客
12-16 1865
一、CSRF攻击攻击原理及过程 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式 1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B...
djangocsrf的实现机制
qq_41373975的博客
03-09 1424
1)启用中间件 2)post请求 3)验证码 4)表单中添加{% csrf_token%}标签 Django 原生支持一个简单易用的跨站请求伪造的防护。当提交一个启用CSRF 防护的POST 表单时,你必须使用上面例子中的csrf_token 模板标签。 #第一步:django第一次响应来自某个客户端的请求时,后端随机产生一个token值,把这个token保存在SESSION状态中;同时,后端把这...
DjangoCSRF防攻击原理详解
景天科技苑
01-18 1195
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息
Django中的CSRF保护机制:原理及如何使用?
最新发布
04-28 579
DjangoCSRF保护机制的原理是,当用户访问一个包含表单的页面时,Django会生成一个随机的CSRF令牌并将其存储在用户会话中。当用户提交表单时,Django会验证表单中的令牌是否与用户会话中存储的令牌匹配。CSRF攻击是通过在用户浏览器上发送一个伪造的请求来实现的,请求中包含了用户在其他网站上的身份验证信息。这样,在提交表单时,Django会验证请求中的CSRF令牌是否与用户会话中的令牌匹配。另外,如果使用 AJAX 来提交表单,可以将令牌作为请求的一个参数来传递,或者将其添加到请求头中。
Django——CSRF防御
小白一直白
01-28 447
关于CSRF攻击原理在上一篇博客已经有过说明,这篇主要介绍下Django关于开启CSRFCSRF工作机理。关于开启防御有两种,一种是全局开启,另一种是局部开启。 全局: 中间件 django.middleware.csrf.CsrfViewMiddleware 局部:from django.views.decorators.csrf import csrf_exempt,csrf_prot...
django中间件CsrfViewMiddleware源码分析,探究csrf实现
qq_27952549的博客
09-05 1689
Django Documentation csrf保护基于以下: 1. 一个CSRF cookie 基于一个随机生成的值,其他网站无法得到。此cookie由CsrfViewMiddleware产生。它与每个调用django.middleware.csrf.get_token()(这是一个用于取回CSRF token的方法)的响应一起发送,如果它尚未在请求上设置的话。为了防止BREACH攻击,t...
Django csrf 的源码解析(DRF会避开 csrf 因为其类 APIView 继承了Django框架的 View 并重写了 as_view 方法)
cpxsxn的博客
08-15 566
本文要说明一个问题: Django 后端什么时候会让前端在 cookie 中的写 crsftoken? 是每次请求都会写一个新的 crsftoken 吗? C:\Python27\Lib\site-packages\django\middleware\csrf.py def _sanitize_token(token): # Allow only alphanum if le...
Djangocsrf中间件源码解析
sinat_30812239的博客
08-02 322
Djangocsrf中间件源码解析:'django.middleware.csrf.CsrfViewMiddleware', """ Cross Site Request Forgery Middleware. This module provides a middleware that implements protection against request forgeries from ...
详解DjangoCSRF认证实现
zcg359670476的博客
12-16 374
什么是 CSRF CSRF, Cross Site Request Forgery, 跨站点伪造请求。举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。 1.csrf原理 csrf要求发送post,put...
django 怎么解析ensure_csrf_cookie
06-02
from django.views.decorators.csrf import ensure_csrf_cookie @ensure_csrf_cookie def my_view(request): # your view code here ``` 这样,当 `my_view` 函数被调用时,Django 会自动为当前用户设置 CSRF ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值