django的csrf中间件

最新推荐文章于 2020-10-09 13:37:16 发布
最新推荐文章于 2020-10-09 13:37:16 发布
阅读量301 收藏 1
点赞数
分类专栏: Python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangxw1803/article/details/81667424
版权

Django的csrf中间件

CSRF:跨站请求伪造Cross Site Request Forgery

CSRF的攻击流程

用户a 访问可信站点1做业务处理,此时浏览器会保存该网站的cookie,当用户a 访问不可信站点2时,如果站点2有指向站点1的链接时候,那么攻击就用可能发生

Eg:

1、包含站点1的链接,点击跳转

2、img 的src属性值是站点1的链接

3、Js加载,js里有跳转的动作

Django的解决方法

Django预防CSRF攻击的方法是在用户提交的表单中加入一个csrftoken的隐含值,这个值和服务器中保存的csrftoken的值相同

前后端的使用

后端

全局使用(禁用)

局部使用或禁用

from django.views.decorators.csrf import csrf_exempt(不使用CSRF验证), csrf_protect(使用CSRF校验)

前端

Form表单

Ajax 方式

<script src="//cdn.bootcss.com/jquery/3.1.1/jquery.min.js"></script>

<script src="//cdn.bootcss.com/jquery-cookie/1.4.1/jquery.cookie.js"></script>

面试回答:

1 解释什么是CSRF

跨站请求伪造Cross Site Request Forgery

2什么是跨站请求伪造

用户a 访问可信站点1做业务处理,此时浏览器会保存该网站的cookie,当用户a 访问不可信站点2时,如果站点2有指向站点1的链接时候,那么攻击就用可能发生

3 Django是如何实现防止攻击

1 当浏览器和Django服务器交互的时候 Django服务器会生成一个随机的token(字符串) 然后把这个字符串保存到浏览器的从okie里,同时在页面添加隐藏的input标签 值就是csrf_token
2 以后再和服务器做post请求的时候 前端页面要带上csrf_token
3 服务器就会去校验前端传过来的csrf_token和服务器保存是不是一致 
    if 不一致:
        return 403 禁止访问
    else:
        一致的时候 正常相应
_Zephyrus_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Djangocsrf中间件源码解析
sinat_30812239的博客
08-02 294
Djangocsrf中间件源码解析:'django.middleware.csrf.CsrfViewMiddleware', """ Cross Site Request Forgery Middleware. This module provides a middleware that implements protection against request forgeries from ...
DjangoCSRF原理与中间件
WOSHIBEIZHE的博客
10-30 314
CSRF 我们在开始学习Django时通常教学会让我们把setting中的CSRF注释,那么我们为什么要注释呢,我们首先来尝试下不注释会发生什么?不注释的话,正常get请求是没有问题的,当我们发送post请求时,就会报错403 表单提交 那么这是为什么呢,我们先来说说CSRF的原理,例如当用户想要登录,输入了账号密码,CSRF就会返回一串字符给用户,用户每一次请求都带着此串字符才能正常操作,我们在form表单中添加 {% csrf_token %}即可表单带着csrf提交 ajax提交 {% csr
Djangocsrf中间件
m0_37906230的博客
11-30 329
Djangocsrf中间件 CSRF:跨站请求伪造Cross Site Request Forgery CSRF的攻击流程 用户a 访问可信站点1做业务处理,此时浏览器会保存该网站的cookie,当用户a 访问不可信站点2时,如果站点2有指向站点1的链接时候,那么攻击就用可能发生 Eg: 1、包含站点1的链接,点击跳转 2、img 的src属性值是站点1的链接 3、Js加载,js里有跳转的动作...
Django(六)Session、CSRF中间件
人生就是一场修行
01-10 3683
大纲二、session 1、session与cookie对比 2、session基本原理及流程 3、session服务器操作(获取值、设置值、清空值) 4、session通用配置(在配置文件中) 5、session引擎配置(db、cache、file、cookie加密) 三、CSRF 1、csrf原理-form提交及ajax提交 2、csrf全局与局部应用配置 四、中间件生命周期
Django中间件执行流程和CSRF验证
FanMLei的博客
11-28 2865
中间件执行流程 django中间件是一个轻量级的插件,可以改变django的输入和输出,中间件共有5种方法,分别为: process_request(self,request) process_view(self, request, callback, callback_args, callback_kwargs) process_template_response(self,reque...
django-react-csrftoken:一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单
02-03
一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单。 安装 npm install --save django-react-csrftoken 用法 import React from 'react' ; import DjangoCSRFToken from 'django-react-csrftoken' class...
Django CSRF认证的几种解决方案
09-17
1. **禁用CSRF保护**:虽然不建议这样做,但如果确实需要关闭CSRF保护,可以通过注释项目配置中的CSRF中间件来实现。不过需要注意的是,这样做会使应用程序完全暴露于CSRF攻击的风险之下。 - **示例代码**: ``...
django-csrf使用和禁用方式
12-20
Django的`settings.py`中,你可以通过注释`CsrfViewMiddleware`中间件来全局禁用CSRF保护: ```python MIDDLEWARE = [ # ... # # 'django.middleware.csrf.CsrfViewMiddleware', # ... ] ``` 但是,这通常不...
django 取消csrf限制的实例
09-17
然后在Django的`settings.py`中添加中间件配置: ```python MIDDLEWARE = [ # ... 'corsheaders.middleware.CorsMiddleware', 'django.middleware.common.CommonMiddleware', # ... 'django.middleware.csrf....
django框架中间件原理与用法详解
09-18
Django框架中间件是其核心特性之一,它提供了一种灵活的方式来扩展或修改Django应用程序的行为,无需深入到每个视图或模型中进行修改。中间件位于请求和响应之间,可以全局地处理输入和输出,使得开发者能够实现诸如...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
12-24
一、在django后台处理 1、将django的setting中的加入django.contrib.messages.middleware.MessageMiddleware,一般新建的django项目中会自带的。 MIDDLEWARE_CLASSES = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.m
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。 教你如何在AJAX请求上设置令牌。
Django 中间件,csrf
weixin_30348519的博客
06-19 94
Django 中间件,csrf 1、中间件简介 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。每个中间件组件都负责做一些特定的功能。 但是由于其影响的是全局,所以需要谨慎使用,使用不当会影响性能。 说的直白一点中间件是帮助我们在视图函数执行之前和执行之后都可以做一些额外的操作,它本质...
$Django 中间件 csrf
weixin_30354675的博客
11-23 85
中间件-中间件是什么?请求和响应之间的一道屏障-中间件作用:控制请求和响应-django中内置几个中间件process_request(self,request)process_view(self, request, callback, callback_args, callback_kwargs)process_template_response(self,req...
csrf中间件
pyrans的博客
10-31 461
Djangocsrf中间件 csrf: 跨站请求伪造(Cross Site Request Forgery) 后端csrf的使用 1、全局使用或禁用 ​ 若需全局禁用csrf在settings.py中将MIDDLEWARE中的'django.middleware.csrf.CsrfViewMiddleware'注释即可若使用则不需做其他操作 2、局部使用或禁用 from django.views...
DjangoCSRF中间件django.middleware.csrf.CsrfViewMiddleware‘
weixin_42213622的博客
10-09 1102
文章目录1 csrf中间件功能及原理 1 csrf中间件功能及原理 CSRF # 表示django全局发送post请求均需要字符串验证 功能:防止跨站请求伪造的功能 工作原理:客服端访问服务器,在服务端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器时,服务器会到客户端查找先前返回的字符串,如果找到则继续,找不到就拒绝。 访问流程:客户端 —> URL路由系统—> CSRF—> 视图函数 需要在客户端页面的post表单中添:{% csrf_token%}
DjangoCSRF中间件 'django.middleware.csrf.CsrfViewMiddleware',
weixin_33971130的博客
04-03 684
1、DjangoCSRF中间件的工作原理及form表单提交需要添加{% csrf_token %}防止出现403错误 CSRF # 表示django全局发送post请求均需要字符串验证功能:防止跨站请求伪造的功能工作原理:客户端访问服务器端,在服务器端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器端时,服务器端会到客户端查找先前返回的字符串,如果找到则继续,找...
django中间件CsrfViewMiddleware源码分析,探究csrf实现
qq_27952549的博客
09-05 1647
Django Documentation csrf保护基于以下: 1. 一个CSRF cookie 基于一个随机生成的值,其他网站无法得到。此cookie由CsrfViewMiddleware产生。它与每个调用django.middleware.csrf.get_token()(这是一个用于取回CSRF token的方法)的响应一起发送,如果它尚未在请求上设置的话。为了防止BREACH攻击,t...
Django自定义中间件
最新发布
05-01
Django中间件Django框架中的一个重要概念,可以在请求和响应之间定义一些处理逻辑。Django提供了一些内置的中间件,比如Session中间件Csrf中间件等。除了内置的中间件,我们还可以自定义中间件来实现一些自定义的逻辑。 自定义中间件的步骤如下: 1. 创建一个Python文件,命名为middleware.py。 2. 定义一个中间件类,继承自django.middleware.BaseMiddleware类,并实现__init__、process_request、process_response方法。 - __init__方法:中间件初始化方法,可以接收Django的settings对象作为参数。 - process_request方法:处理请求前的逻辑,可以对请求进行处理或者拦截请求。 - process_response方法:处理响应后的逻辑,可以对响应进行处理或者拦截响应。 3. 在settings.py文件中配置中间件。 - 在MIDDLEWARE_CLASSES或者MIDDLEWARE中添加自定义中间件的路径。 下面是一个简单的示例: ```python # middleware.py class MyMiddleware: def __init__(self, get_response): self.get_response = get_response def process_request(self, request): # 处理请求前的逻辑 return None def process_response(self, request, response): # 处理响应后的逻辑 return response ``` ```python # settings.py MIDDLEWARE = [ # ... 'myproject.middleware.MyMiddleware', # ... ] ``` 以上示例中,我们定义了一个名为MyMiddleware的中间件类,并实现了process_request和process_response方法。在process_request方法中,我们可以对请求进行处理或者拦截请求;在process_response方法中,我们可以对响应进行处理或者拦截响应。最后,在settings.py文件中添加自定义中间件的路径即可。 需要注意的是,如果你的中间件是一个类而不是一个函数,那么你需要在类的构造函数中接收一个get_response参数,并将其保存在实例变量中。这里的get_response参数是一个可调用对象,它代表着整个Django请求-响应处理过程中的后续处理逻辑。在自定义中间件的process_request或process_response方法中,如果你想要继续执行后续的处理逻辑,就需要调用get_response方法。如果你不调用get_response方法,那么后续的处理逻辑就不会被执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值