Python学习笔记:6.3.11 csrf攻击与防范

最新推荐文章于 2024-04-17 01:20:04 发布
最新推荐文章于 2024-04-17 01:20:04 发布
阅读量376 收藏
点赞数
分类专栏: Python全栈工程师学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014257214/article/details/104360748
版权

前言:本文是学习网易微专业的《python全栈工程师 - Flask高级建站》课程的笔记,欢迎学习交流。同时感谢老师们的精彩传授!

一、课程目标
  • 什么是CSRF
  • 表单的CSRF保护
  • AJAX的CSRF保护
二、详情解读
2.1.CSRF跨站攻击
2.1.1.什么是跨站攻击

在会员管理中,要删除一个会员只要访问127.0.0.1:5000/admin/user/delete/1
有人会认为:这个链接你一定要登录才能访问,怎么会有安全性问题呢

攻击行为: 想办法给管理员发一条删除链接,比如在图片中放置这个链接
在这里插入图片描述
管理员如果在登录状态下点击此图片就会将员删除,攻击成功。
这种攻击行为称为:Cross-SiteRequestForgecy - 跨站请求伪造,简称:CSRF

如果改成表单提交会不会避免这个问题?
问题同样存在,对于服务器来说,如同不能识别身份一样,也没能识别数据的来源。
在这里插入图片描述
B站一样可以提交登录数据完成登录,B站如果是一个伪站,那么用户就可能在不知情的情况下完成登录,从而帐号密码被盗。
在这里插入图片描述
所以表单也不是安全的,必须想办法在链接或者表单上做识别符号,就与用户的身份识别一样,给每个表单或者链接加上身份。通常用csrf-token标识符来表示这个身份

2.2.表单的CSRF保护
2.2.1.CSRF保护

flask_wtf提供了csrf防范能力,默认创建一个包含csrf_token值的隐藏域,
当使用form.validate_on_submit()方法验证数据时,就会用session中的值与csrf_token的值进行比较,
如果两者不一致,那么就认为表单是伪造的,拒绝处理。

2.3.ajax的CSRF保护

Step1:

from flask_wtf.csrf import CSRFProtect

Step2:创建实例

csrf = CSRFProtect()

Step3app实例参数配置:

csrf.init_app(app)

Step4:在模版中使用{ { csrf_token() }}可以获得token

我们首先将通过链接删除修改为通过ajax删除
1.请求方式修改为post
2.在ajax中设置:

beforeSend: function(xhr) {
   
	xhr.setRequestHeader("X-CSRFToken", {
   {
    csrf_toke
最低0.47元/天 解锁文章
WinvenChang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python Django,CSRF攻击CSRF防御
houyanhua1的专栏
12-14 396
  项目名/settings.py(项目配置,csrf中间件配置): MIDDLEWARE_CLASSES = ( 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.Cs...
python模拟开发WebQQ(三)处理CSRF
yill_h的博客
06-24 763
对跨站域请求伪造(csrf)的处理,提高软件安全性 当直接post没有加验证时会出现403错误。 这是由于csrf出现的问题     csrf的定义如下: 一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片消息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接,
Pythoncsrf攻击与防御
開開吣吣的博客
10-14 546
CSRF概念 CSRF跨站点请求伪造(Cross—Site Request Forgery)。 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 CSRF攻击原理以及过程 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登...
PythonCSRF攻击是什么
最新发布
weixin_46084533的博客
04-17 357
由于CSRF通常是由第三方站点发起的,因此可以要求所有敏感操作都必须通过带有自定义请求头的XMLHttpRequest发起,这样的请求不可能由第三方站点发起。
Python-csrf
傻瓜的专栏
12-05 1337
<br />CSRF是伪造客户端请求的一种攻击CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。<br /> <br />解决方法:<br />(1)在setting中:增加红色的三行<br />MIDDLEWARE_CLASSES = (<br />    'django.middleware.common.CommonMiddleware',<br />    'django.contrib.sessions.middleware.SessionM
python简易实现的 csrf防护
he93007的博客
11-30 515
上一篇讲的是用flask-wtf这个库实现csrf防护 https://blog.csdn.net/he93007/article/details/79980956   这篇讲一下手动实现. 按业务流程来讲 1 用户发起了登录请求  {username:xxxx,passwd:xxxx}   2 后端查询数据库 用户名密码是否正确,是否存在用户   3 存在用户且密码正确,我们...
教主Kali与Python黑客.6.WEB攻击.5.CSRF
10-14
教主Kali与Python黑客.6.WEB攻击.5.CSRF
next-csrf:Next.js的CSRF缓解
05-14
// file: lib/csrf.js import { nextCsrf } from "next-csrf" ; const options = { secret : process . env . CSRF_SECRET // Long, randomly-generated, unique, and unpredictable value } export const { csrf ...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
主要介绍了详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解WEB攻击CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
Python Django框架防御CSRF攻击的方法分析
09-18
Python的Web开发框架Django中,CSRF(Cross-site request forgery,跨站请求伪造)是一种常见的安全威胁,它允许攻击者通过受害者在已登录的网站上的合法身份执行恶意操作。为了保护用户免受此类攻击,Django提供...
python跨域攻击教学_编码实录 —— 跨域伪装攻击CSRF
weixin_39869791的博客
12-21 125
重要声明进行任何程度的非授权CSRF攻击都属于违法行为!!!CSRF概念Cross-Site Request Forgery 跨站请求伪造 —— 通过伪造成被授权用户对授权服务器开展非法行为,如获取资料、修改/删除资料、造成服务瘫痪等。准备工作postman/ 自建服务器(jsp为例)实录首先登录自建服务,在默认使用Session的情况下java(php / .net / python / no...
Python随笔之CSRF问题解决办法
Chris Mao的专栏
09-14 732
学习Django之初,遇到这样一个问题,就是在提交数据的时候会出现如下图所示的错误   在网上找了一些解决方法,发现下面这个方法还是比较简单的。 就是在settings.py文件里面的MIDDLEWARE_CLASSES中加入''django.middleware.csrf.CsrfResponseMiddleware',错误就可以消除了。   版权声明:本文为博主原创文章,...
CSRF攻击
weixin_45619627的博客
05-14 119
这里写目录标题CSRFCSRF攻击示意图防止 CSRF 攻击CSRF_TOKEN的设置过程 CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账… 造成的问题:个人隐私泄露以及财产安全。 CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 防止 CSRF 攻击 步骤 在客户端向后端请求界面数据的时候,后端会往响应中
pythonCSRF设置(一)
野先生的专栏
10-31 2376
pythonCSRF设置一 csrf:跨站请求伪造,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成 1、单个ajax提交设置,在ajax内添加:headers: {‘X-CSRFtoken’: $.cookie(‘csrftoken’)}, $('#btn').click(function () { $.ajax({ ...
Django 的 CSRF 保护机制
weixin_34348174的博客
12-02 201
用 django 有多久,我跟 csrf 这个概念打交道就有久了。 每次初始化一个项目时都能看到 django.middleware.csrf.CsrfViewMiddleware 这个中间件 每次在模板里写 form 时都知道要加一个 {% csrf_token %} tag 每次发 ajax POST 请求,都需要加一个 X_CSRFTOKEN 的 header 但是一直我都是...
python 中的 csrf(xsrf: 在 tornado 中) 和 cors
xinxinNoGiveUp的博客
12-26 1576
csrf 跨站请求伪造csrf( cross-site request forgery) 属于一种跨站攻击, 在 tornado 中被称为 xsrf
csrfpython中的运用格式
Dai_yinian6的博客
06-23 443
# 导入生成 csrf_token 值的函数 from flask_wtf.csrf import generate_csrf # 调用函数生成 csrf_token csrf_token = generate_csrf()@app.after_request def after_request(response): # 调用函数生成 csrf_token csrf_token =...
Python web实战 | 细说 Django 的跨站点请求伪造(CSRF)保护
Saki_Python的博客
08-16 437
本文详细介绍了 Django 中的跨站点请求伪造(CSRF)保护机制。实际开发中,仅仅靠CSRF机制并不是绝对安全的,还应该结合其他安全措施,综合多种技术来确保应用程序的安全性。
93道网络安全面试题目
07-20
防范CSRF攻击的方法有: * 使用安全框架,例如SpringSecurity * 使用token机制,在HTTP请求中进行token验证 * 使用验证码,通常情况下,验证码能够很好的遏制CSRF攻击 * 使用referer识别,在HTTPHeader中记录了HTTP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值