django CSRF

最新推荐文章于 2024-04-28 07:45:00 发布
最新推荐文章于 2024-04-28 07:45:00 发布
阅读量334 收藏
点赞数
分类专栏: python 文章标签: python django

什么是CSRF

问题是解决了,但我不禁回想为什么在Django里提交POST表单要配置那么麻烦(其实也不麻烦,但对新手来说就不一样了),于是搜索关键字看看,得知它是一种跨站请求伪造,黑客可以利用这个攻击站点。而Django里的使用这个机制就是防止CSRF模式攻击,原理大致是当你打开页面的时候产生一个csrftokey种下cookie,然后当你提交表单时会把本地cookie里的csrftokey值给提交服务器,服务器判断只有有效的csrftokey值才处理请求。

既然这样,我就查看了一下cookie信息,发现果真种了一个csrftokey值

Django表单

右键HTML页面查看源代码,发现{% csrf_token %}位置替换成了一个input隐藏值

Django表单

input隐藏标签值与cookie里的csrftoken值一致。

于是我做了一个测试,在from表单里把{% csrftoken %}标签直接替换成如上图的input标签,name与value保持一致,提交留言的时候服务器正常处理,测试成功。

不使用CSRF验证

Django提供了POST表单使用CSRF验证功能,感觉还是挺不错的。但在Django里能不能像普通的Form表单一样不使用CSRF验证功能呢?答案是肯定可以的。

1、我在settings.py的MIDDLEWARE_CLASSES'django.middleware.csrf.CsrfViewMiddleware'注释

2、移出FROM表单里的{% csrf_token %}标记

3、不导入RequestContext模块,并把render_to_response()里的context_instance=RequestContext(request)去掉

重新运行网页测试提交留言正常。至此,应该可以判断出上边1步骤里的'django.middleware.csrf.CsrfViewMiddleware'语句开启了CSRF验证功能,默认是开启的,注释以后就关闭CSRF验证POST表单提交功能了。

00000_00
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python web实战 | 细说 Django 的跨站点请求伪造(CSRF)保护
Saki_Python的博客
08-16 437
本文详细介绍了 Django 中的跨站点请求伪造(CSRF)保护机制。实际开发中,仅仅靠CSRF机制并不是绝对安全的,还应该结合其他安全措施,综合多种技术来确保应用程序的安全性。
vue-resource post数据时碰到Django csrf问题的解决
10-15
主要介绍了vue-resource post数据时碰到Django csrf问题的解决,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Django CSRF(什么是CSRF?)\Django前后端分离csrf token获取方式
西京刀客
12-07 1511
Django CSRF 浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。 浏览器的同源策略并不能阻止CSRF攻击。 什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是跨站请求伪造。 Django CSRF django为用户实现防止跨站请求伪造的功能,通过中间件django.middleware.csrf.CsrfViewMiddle
Django中的CSRF保护机制:原理及如何使用?
最新发布
04-28 178
DjangoCSRF保护机制的原理是,当用户访问一个包含表单的页面时,Django会生成一个随机的CSRF令牌并将其存储在用户会话中。当用户提交表单时,Django会验证表单中的令牌是否与用户会话中存储的令牌匹配。CSRF攻击是通过在用户浏览器上发送一个伪造的请求来实现的,请求中包含了用户在其他网站上的身份验证信息。这样,在提交表单时,Django会验证请求中的CSRF令牌是否与用户会话中的令牌匹配。另外,如果使用 AJAX 来提交表单,可以将令牌作为请求的一个参数来传递,或者将其添加到请求头中。
Django网络安全】如何正确防护CSRF跨站点请求伪造
黎明总是如期而至
04-09 726
CSRF(Cross-site request forgery),中文名跨站点请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器中的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
关于DjangoCsrf问题的解决方法
huanhuan_tiantian的专栏
10-25 1227
最近在用Django做表单POST提交处理的时候,遇到了CSRF verification failed request aborted这样的错误信息提示,然后看了网的一些解决方法,都没有解决掉。后来才发现,网上的方法,都是解决之道的一部分。所以我便整理出完整的解决步骤供大家参考。 什么是Csrf呢,中文名称叫做跨站请求伪造。它在django中的工作原理,我在这里就不说了。可以直接看Django
DjangoCSRF防攻击原理详解
景天科技苑
01-18 1155
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息
Django CSRF认证的几种解决方案
09-17
主要介绍了Django CSRF认证的几种解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Django csrf 两种方法设置form的实例
09-19
今天小编就为大家分享一篇Django csrf 两种方法设置form的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Django csrf 验证问题的实现
09-20
csrf是通过伪装来自受信任用户的请求来利用受信任的网站。这篇文章主要介绍了Django csrf 验证问题的实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
django-csrf使用和禁用方式
12-20
Django CSRF(跨站请求伪造)是Web应用中一种安全机制,用于防止恶意第三方伪造用户的请求。在Django框架中,CSRF保护是默认启用的,以确保只有合法的用户操作才能被执行。以下是对标题、描述和标签内容的详细解释:...
CSRF(跨站请求伪造)与django项目的预防方法
花城的博客
10-18 2100
一、跨站请求伪造(CSRF)的概念二、djangoCSRF令牌三、在ajax中使用csrf_token(jQuery为例)四、关于CSRF的装饰器1. 单独指定需要csrf验证的视图2. 单独指定忽略csrf验证的视图 一、跨站请求伪造(CSRF)的概念 CSRF全称为Cross-site request forgery,中文意为跨站请求伪造。它是指一种网络攻击技术:不法分子盗用身份信息并伪造请求,进行并非你本意的操作。 csrf的案例: 假设我们在浏览器中逛支付王(就当做是个很垃圾的支付平
DjangoCSRF防护原理及使用
逸尘的专栏
05-29 4911
django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。全局:中间件 django.middleware.csrf.CsrfViewMiddleware局部:@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没
djangoCSRF防护
笑笑生的博客
06-28 499
CSRF防护一、什么是CSRFCSRF: Cross-site request forgery,跨站请求伪造用户登录了正常的网站A, 然后再访问某恶意网站,该恶意网站上有一个指向网站A的链接,那么当用户点击该链接时,则恶意网站能成功向网站A发起一次请求,实际这个请求并不是用户想发的,而是伪造的,而网站A并不知道。攻击者利用了你的身份,以你的名义发送恶意请求,比如:以你名义发送邮件,发消息,盗取你...
Django: csrf防御机制 以及解决方法
harry
09-05 1145
原文链接:点击打开链接
Django 解决 csrf_protect的方法
白氏可乐python学习归纳区
11-14 7081
直接看别人的页面吧~~ http://www.qttc.net/201209211.html
Django解决CSRF请求处理
zsrwan的博客
06-02 830
一、在提交的前端页面中写入js代码片段 // get cookie using jQuery function getCookie(name) { let cookieValue = null; if (document.cookie && document.cookie !== '') { let cookies = document.cook...
Django提交表单出错”django, CSRF token missing or incorrect”
JasonZhou89
08-03 9498
有学习django表单,碰到"CSRF token missing or incorrect."问题。 寻找解决方法如下:(已验证确实可行) 现象: Forbidden (403) CSRF verification failed. Request aborted. Help Reason given for failure: CSRF token missing or in
PYTHON – 如何禁用DJANGOCSRF验证
子钦加油的博客
06-26 329
如果只需要一些视图不使用CSRF,可以使用@csrf_exempt: from django.views.decorators.csrf import csrf_exempt @csrf_exempt def my_view(request): return HttpResponse('Hello world') ...
django CSRF verification failed. Request aborted.
06-15
这个错误通常是由于 DjangoCSRF 保护机制导致的。DjangoCSRF 保护是一种安全机制,用于防止恶意网站利用用户的身份在你的网站上执行一些操作。在 Django 中,当用户提交表单时,Django 会生成一个 CSRF 令牌...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值