Django5入门教程-CSRF攻击

最新推荐文章于 2024-10-07 20:36:13 发布
最新推荐文章于 2024-10-07 20:36:13 发布
阅读量893 收藏 14
点赞数 13
文章标签: csrf 前端 django python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013342594/article/details/142712215
版权

一、CSRF攻击概述:

CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也存在着 CSRF 漏洞,从而被黑客攻击而使 Gmail 的用户造成巨大的损失。

二、CSRF攻击原理:

网站是通过cookie来实现登录功能的。而cookie只要存在浏览器中,那么浏览器在访问这个cookie的服务器的时候,就会自动的携带cookie信息到服务器上去。那么这时候就存在一个漏洞了,如果你访问了一个别有用心或病毒网站,这个网站可以在网页源代码中插入js代码,使用js代码给其他服务器发送请求(比如ICBC的转账请求)。那么因为在发送请求的时候,浏览器会自动的把cookie发送给对应的服务器,这时候相应的服务器(比如ICBC网站),就不知道这个请求是伪造的,就被欺骗过去了。从而达到在用户不知情的情况下,给某个服务器发送了一个请求(比如转账)。

三、防御CSRF攻击:

CSRF攻击的要点就是在向服务器发送请求的时候,相应的cookie会自动的发送给对应的服务器。造成服务器不知道这个请求是用户发起的还是伪造的。这时候,我们可以在用户每次访问有表单的页面的时候,在网页源代码中加一个随机的字符串叫做csrf_token,在cookie中也加入一个相同值的csrf_token字符串。以后给服务器发送请求的时候,必须在body中以及cookie中都携带csrf_token,服务器只有检测到cookie中的csrf_tokenbody中的csrf_token都相同,才认为这个请求是正常的,否则就是伪造的。那么黑客就没办法伪造请求了。在Django中,如果想要防御CSRF攻击,应该做两步工作。第一个是在settings.MIDDLEWARE中添加CsrfMiddleware中间件。第二个是在模版代码中添加一个input标签,加载csrf_token。示例代码如下:

  • 服务器代码:
MIDDLEWARE = [
  'django.middleware.security.SecurityMiddleware',
  'django.middleware.gzip.GZipMiddleware',
  'django.contrib.sessions.middleware.SessionMiddleware',
  'django.middleware.common.CommonMiddleware',
  'django.middleware.csrf.CsrfViewMiddleware',
  'django.contrib.auth.middleware.AuthenticationMiddleware',
  'django.contrib.messages.middleware.MessageMiddleware',
  'django.middleware.clickjacking.XFrameOptionsMiddleware'
]

  • 模版代码:

    <input type="hidden" name="csrfmiddlewaretoken" value="{{ csrf_token }}"/>

    或者是直接使用csrf_token标签,来自动生成一个带有csrf tokeninput标签:

    {% csrf_token %}

四、使用ajax处理csrf防御:

如果用ajax来处理csrf防御,那么需要手动的在form中添加csrfmiddlewaretoken,或者是在请求头中添加X-CSRFToken。我们可以从返回的cookie中提取csrf token,再设置进去。示例代码如下:

function getCookie(name) {
  var cookieValue = null;
  if (document.cookie && document.cookie !== '') {
    var cookies = document.cookie.split(';');
    for (var i = 0; i < cookies.length; i++) {
      var cookie = jQuery.trim(cookies[i]);
      // Does this cookie string begin with the name we want?
      if (cookie.substring(0, name.length + 1) === (name + '=')) {
        cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
        break;
      }
    }
  }
  return cookieValue;
}

var myajax = {
  'get': function (args) {
    args['method'] = 'get';
    this.ajax(args);
  },
  'post': function (args) {
    args['method'] = 'post';
    this._ajaxSetup();
    this.ajax(args);
  },
  'ajax': function (args) {
    $.ajax(args);
  },
  '_ajaxSetup': function () {
    $.ajaxSetup({
      beforeSend: function(xhr, settings) {
        if (!/^(GET|HEAD|OPTIONS|TRACE)$/.test(settings.type) && !this.crossDomain) {
          xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
        }
      }
   });
  }
};

$(function () {
  $("#submit").click(function (event) {
    event.preventDefault();
    var email = $("input[name='email']").val();
    var money = $("input[name='money']").val();

    myajax.post({
      'url': '/transfer/',
      'data':{
        'email': email,
        'money': money
      },
      'success': function (data) {
        console.log(data);
      },
      'fail': function (error) {
        console.log(error);
      }
    });
  })
});

三、iframe相关知识:

  1. iframe可以加载嵌入别的域名下的网页。也就是说可以发送跨域请求。比如我可以在我自己的网页中加载百度的网站,示例代码如下: 
    <iframe src="http://www.baidu.com/">
</ifrmae>
  2. 因为iframe加载的是别的域名下的网页。根据同源策略js只能操作属于本域名下的代码,因此js不能操作通过iframe加载来的DOM元素。
  3. 如果ifrmaesrc属性为空,那么就没有同源策略的限制,这时候我们就可以操作iframe下面的代码了。并且,如果src为空,那么我们可以在iframe中,给任何域名都可以发送请求。
  4. 直接在iframe中写html代码,浏览器是不会加载的。
繁华c
关注
Django-中文教程.pdf
07-04
### Django中文教程知识点总结 #### 一、Django框架简介 ...以上是对《Django中文教程》主要内容的详细总结,涵盖了从入门到高级应用的各个方面,希望能帮助读者全面理解和掌握Django框架的使用方法。
django-readthedocs-io-en-stable.pdf
06-28
Django在设计时就充分考虑到了这一点,并提供了多种安全机制来保护应用程序免受攻击。例如,CSRF防护、XSS过滤、密码哈希等功能都能有效提高应用的安全等级。 #### 1.11 国际化与本地化 随着全球化趋势的发展,...
Django5入门教程-中间件
u013342594的博客
10-05 736
中间件所处的位置没有规定。只要是放到项目当中即可。一般分为两种情况,如果中间件是属于某个app的,那么可以在这个app下面创建一个python文件用来存放这个中间件,也可以专门创建一个Python包,用来存放本项目的所有中间件。
Django入门 ----模板详解
sGDUTBMW的博客
04-01 564
文章目录1. 语法1. 变量 (variables)2. 标签 (tags)3. 过滤器 (filters)2. 加载1. 模板文件路径2. 模板的继承3. 加载静态文件(css, js) 1. 语法 1. 变量 (variables) 模板中的变量一般使用双括号 {{ }} 包围 使用 . 获取一个变量(字典、对象和列表)的属性 {{ my_dict.key }} {{ my_object.attribute }} {{ my_list.0 }} 2. 标签 (tags
Django5入门教程
u013342594的博客
09-08 410
Django5入门教程制作中,敬请期待。
Django | 安全防护】CSRF跨站伪请求和SQL注入攻击
计算机魔术师的blog
08-22 3980
一、演示CSRF漏洞 二、环境准备 三、模拟黑客🐱‍👤 四、解决办法 五、SQL注入攻击漏洞
Django学习笔记一---入门篇
test
11-15 2112
前言 正文 环境 系统 : ubuntu 17.10 python : 3.6 Django2.0 Python的虚拟环境virtualenv 为了考虑依赖性问题,将使用virtualenv来搭建对应的环境 安装: pip install virtualenv 创建虚拟环境 cd project_name_dir virtualenv venv #venv为虚拟环境的目录名,可以自定义 创...
Django入门-6:视图-中间件、CSRF
琦彦
09-26 686
CSRF 1、概述   CSRF(Cross Site Request Forgery)跨站点伪造请求,举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。   为了避免上面情况的出现,Djan
Django快速入门
weixin_59633478的博客
08-08 2173
文档推荐看英文,看不懂就换中文吧Django是一个开放源代码的Web应用框架,由Python写成。采用了MTV的框架模式,即模型M,视图V和模版T。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(内容管理系统)软件。并于2005年7月在BSD许可证下发布。这套框架是以比利时的吉普赛爵士吉他手Django Reinhardt来命名的。2020年,Django 3.0发布。2022年,Django 4.0发布。
DjangoCSRF 入门
lelemom的博客
01-26 291
DjangoCSRF防护原理及使用    https://blog.csdn.net/haoaiqian/article/details/72803936 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。 全局: 中间件 djang...
Django网络安全】如何正确防护CSRF跨站点请求伪造_drf csrf
2301_77033672的博客
04-28 753
CSRF(Cross-site request forgery),中文名跨站点请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器中的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
django教程
02-25
5. **安全性**:Django内置了许多安全特性,例如防止跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等,帮助开发者避免常见的安全漏洞。 6. **RESTful API支持**:Django Rest Framework是用于构建RESTful API的强大...
Python库 | django-mini-0.4.2.tar.gz
03-02
- **安全性**:Django内置了许多安全特性,如防止跨站脚本(XSS)和跨站请求伪造(CSRF攻击。 总的来说,Django Mini 0.4.2是一个适合快速开发小型应用的Python框架,它继承了Django的核心优点,同时简化了使用...
Pikachu-csrf-CSRF(POST)
guanrongl的专栏
10-03 352
拦截抓包,在请求信息中, Engagement Tool --》generate CSRF PoC。打开 poc.html 页面,点击submit request ,即可达成攻击;得到以下 html 代码 ,生成poc.html 文件,当用户点击。
【CTF Web】Pikachu CSRF(get) Writeup(CSRF+GET请求+社会工程学)
HEX9CF的技术博客
10-05 1277
Cross-site request forgery 简称为“CSRF”,在CSRF攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。这里列举一个场景解释一下,希望能够帮助你理解。
CSRF | GET 型 CSRF 漏洞攻击
最新发布
Blue17 の 小窝
10-07 1382
例如,攻击者可以创建一个隐藏的 iframe,其中包含对银行网站的转账请求,当用户访问包含该 iframe 的页面时,浏览器会携带用户的会话 Cookie 自动发起转账请求,而用户可能对此还一无所知。GET 型 CSRF 漏洞是指攻击者通过构造恶意的 HTTP GET 请求,利用用户的登录状态,在用户不知情的情况下,诱使浏览器向受信任的网站发送请求,从而执行非用户意图的操作。那么攻击者通过在网页中嵌入下面的代码,并诱导用户访问,当用户访问嵌入了恶意代码的站点时,用户浏览器就自动会向。
Pikachu-csrf-CSRF(get)
guanrongl的专栏
10-03 369
就是 get请求的csrf 攻击payload。登陆,修改个人信息;发现这是个get请求。
前端的全栈混合之路Meteor篇:3.0新版本介绍
分享有趣的、贴近生活的CS知识
10-01 1164
Meteor全栈框架3.0版本终于稳定下来了,它的效果约等于webpack+vue+express+socket.io+mongodb+npm+uniapp,学一个搞定全套,值得学习了解下,最后找到适合于自己的技术栈。
Django框架入门教程:打造高效Web应用
"Djangobook2中文版是一本详细介绍Django Web框架的教程,涵盖了从入门到高级的多个方面,包括视图、URL配置、模板、模型、站点管理、表单、高级视图、模板进阶、模型进阶、通用视图、部署、非HTML内容输出、会话...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值