【Django网络安全】如何正确防护CSRF跨站点请求伪造_drf csrf

最新推荐文章于 2024-09-14 01:13:04 发布
最新推荐文章于 2024-09-14 01:13:04 发布
阅读量678 收藏 21
点赞数 15
分类专栏: 2024年程序员学习 文章标签: django web安全 csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdsfgj/article/details/137731558
版权
本文介绍了CSRF攻击的概念、常见防御手段,重点讲解了Django框架内置的CSRF防御机制,包括HTTP Referer验证、token验证以及cookie、session、html中的csrftoken。此外,还探讨了前后端不分离和分离场景下的CSRF防御策略,提供了解决方案和最佳实践。
摘要由CSDN通过智能技术生成

CSRF(Cross-site request forgery),中文名跨站点请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器中的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。
XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。
网友借个图
在这里插入图片描述

一、CSRF攻击场景

对于用户的的所有操作,除了get查询,其他请求都需要保护,包括POST、PUT和DELETE。

发送邮件
修改账户信息
资金转账
盗取用户隐私数据
网站被上传网马
作为其他攻击方式的辅助攻击(比如xss)
传播CSRF蠕虫(见下文中的YouTube CSRF漏洞)
等等

二、CSRF攻击的防御手段

1.验证 HTTP Referer 字段

这种方式理论上可行,实际情况是Referer可以被伪造。

2.请求地址添加token并验证

django的验证方式是csrftoken验证。实现的主要是长cookie中csrftoken和表单中的csrfmiddlewaretoken是否为同一加密编码来源来实现csrf防御。csrftoken和csrfmiddlewaretoken这两个参数在接下来是我们关注的重点。

三、Django的CSRF防御解析

django的csrf防御是通过中间价来执行,默认是开启状态。位置是django项目的settings文件。

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',  # csrf防御
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'utils.middlewar
最低0.47元/天 解锁文章
王钧易
关注
专栏目录
Django 4.x CSRF 站点保护示例和使用配置方法
Mr数据杨
11-04 3万+
在现代Web开发中,安全性是不可忽视的重点之一。请求伪造CSRF)是一种常见的攻击手段,可能会给Web应用带来严重的安全风险。为了应对这种攻击Django提供了一套完整的CSRF防护机制,帮助开发者在构建Web应用时,确保请求的合法性和安全性。
DRF框架中csrf异常
Python-全栈开发教程-入门到精通
01-03 660
一.报错信息 "detail": "CSRF Failed: CSRF cookie not set." 二.解决办法 方法一: 在配置文件中配置 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication.TokenAuthentication', )...
django之防止CSRF攻击
weixin_45912307的博客
10-10 182
1. 在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值 1.生成 csrf_token 的值 2.在返回转账页面的响应里面设置 csrf_token 到 cookie 中 3.渲染转换页面,传入 csrf_token 到模板中 def get(self, request): # 1.生成csrf_token from django.middleware.csrf import get_token csrf
csrf攻击的原理和Django防范csrf攻击的方法
KrystalCSDN的博客
11-10 328
csrf攻击的原理 CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作。比如说,受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/withdraw?account=bob&amount=1000000&for=bob2 可以使 Bob 把 1000000 ...
DjangoCSRF攻击原理详解
景天科技苑
01-18 1195
CSRF(Cross-site request forgery),中文名称:请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息
【archery】更换域名后,登录提示Forbidden
qq_45844474的博客
03-05 456
archery在变更域名后,登录账号报错Forbidden。重启完成后点击登录,正常提示密码失败。
Django安全认证机制CSRF
ssshey的博客
07-07 1019
Django安全认证机制CSRF
最新【Django网络安全】如何正确防护CSRF站点请求伪造_drf csrf
2401_84281748的博客
05-04 912
CsrfViewMiddleware中间件使用的情况下,通过中间件的process_request方法获取请求cookie中的csrftoken,通过process_view获取post、put、delete请求cookie中的csrftoken和表单中的csrfmiddlewaretoken并进行校验(不通过就是403),通过process_response设置cookie的csrftoken参数(需要登录)。主要是CSRF_USE_SESSIONS 和 CSRF_COOKIE_HTTPONLY参数。
Django Rest Framework记录请求日志
weixin_44149181的博客
10-09 1475
1.下载模块 pip install drf-api-logger 2.添加drf_api_logger到NSTALLED_APPS INSTALLED_APPS = [ 'django.contrib.admin', 'django.contrib.auth', 'django.contrib.contenttypes', 'django.contrib.sessions', 'django.contrib.messages', 'django.contr
Django 中针对基于类的视图添加 csrf_exempt
热门推荐
kongxx的专栏
08-17 2万+
Django中对于基于函数的视图我们可以 @csrf_exempt 注解来标识一个视图可以被域访问。那么对于基于类的视图,我们应该怎么办呢?简单来说可以有两种访问来解决方法一:在类的 dispatch 方法上使用 @csrf_exemptfrom django.views.decorators.csrf import csrf_exemptclass MyView(View): def g
Django中预防CSRF攻击
但行好事,莫问前程
10-26 2240
CSRF攻击者盗用了你的身份,以你的名义发送恶意请求
DjangoCSRF攻击原理及其防御方式
Shaun_X
03-18 918
攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。
基于python+django+vue的社区爱心养老管理系统
计算机学姐的博客
09-14 986
【2025最新】基于python+django+vue+MySQL的社区爱心养老院管理系统,前后端分离。
django-admin自定义功能按钮样式
最新发布
LuiChun
09-14 651
【代码】django-admin自定义功能按钮样式。
基于python+django+vue的个性化餐饮管理系统
计算机学姐的博客
09-14 966
【2025最新】基于python+django+vue+MySQL的视频点播管理系统,前后端分离。
基于python+django+vue+MySQL的酒店推荐系统
计算机学姐的博客
09-12 1122
【2025最新】python+django+vue+MySQL的酒店推荐系统,前后端分离。
基于python+django+vue的视频点播管理系统
计算机学姐的博客
09-13 1257
【2025最新】基于python+django+vue+MySQL的视频点播管理系统,前后端分离。
Django DRF框架下的用户验证与JWT拓展详解
Django DRF框架中,用户验证和JWT(Json Web Tokens)扩展是实现网站安全性与高效通信的重要组成部分。本文旨在详细介绍这两个关键概念,特别是如何在DRF项目中集成和利用JWT进行用户身份验证。 首先,Django ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值