Django框架(26.Django中的CSRF以及登录装饰器)

最新推荐文章于 2023-07-12 16:05:01 发布
最新推荐文章于 2023-07-12 16:05:01 发布
阅读量251 收藏
点赞数 1
分类专栏: Django 文章标签: CSRF Django 防止攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wei18791957243/article/details/100191133
版权

CSRF简介

CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。

CSRF示意图如下:

 

如果想防止CSRF,首先是重要的信息传递都采用POST方式而不是GET方式,接下来就说POST请求的攻击方式以及在Django中的避免。

 防止CSRF

1.Django提供了csrf中间件用于防止CSRF攻击,只需要在test4/settings.py中启用csrf中间件即可。

2.也可以在from表单后添加 {% csrf_token %}  ,也是可以防止csrf攻击的

 保护原理

实际是在from表单的后面会生成一传value属性的值,一段字符串

说明:当启用中间件并加入标签csrf_token后,会向客户端浏览器中写入一条Cookie信息,这条信息的值与隐藏域input元素的value属性是一致的,提交到服务器后会先由csrf中间件进行验证,如果对比失败则返回403页面,而不会进行后续的处理。

登录装饰器

def login_required(view_func):
    '''登录判断装饰器'''
    # view_args位置参数(接收位置参数),view_kwargs关键字参数(接收关键字参数)
    def wrapper(request,*view_args,**view_kwargs):
        # 判断用户是否登录
        if request.session.has_key("islogin"):
            # 用户已登录
            view_func(request,*view_args,**view_kwargs)
        else:
            # 用户未登录
            return redirect("/login")  # 跳转到登录视图函数
    return wrapper

用的时候可以直接给视图函数直接  使用  @login_required

 

还是那个同伟伟
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
详解利用django间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
主要介绍了详解利用django间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Python Django框架防御CSRF攻击的方法分析
12-31
本文实例讲述了Python Django框架防御CSRF攻击的方法。分享给大家供大家参考,具体如下: ... 'django.middleware.csrf.CsrfViewMiddleware', # django默认启用了csrf防护,只针对post表单提交进行防护。 '
django基础知识之csrf:
weixin_30483013的博客
06-10 87
csrf 全称Cross Site Request Forgery,跨站请求伪造 某些恶意网站上包含链接、表单按钮或者JavaScript,它们会利用登录过的用户在浏览器的认证信息试图在你的网站上完成某些操作,这就是跨站攻击 演示csrf如下 创建视图csrf1用于展示表单,csrf2用于接收post请求 def csrf1(request): r...
Djangocsrf相关装饰器
weixin_30314793的博客
09-20 168
切记: 这俩个装饰器不能直接加在类函数的上方 (CBV方式) csrf_exempt除了,csrf_protect受保护的 from django.views import Viewfrom django.utils.decorators import method_decoratorfrom django.views.decorators.csrf import csrf_...
Django框架CSRF免验证
FatPuffer
04-18 360
FBV模式 (1)想要某个视图不需要SCRF验证 settings.py MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.Commo...
Django框架学习笔记(22.CSRF原理简单介绍)
一清的博客
12-21 353
前面我们写Django的时候,都要在settings.py里把CSRF注释掉,这里其实是Django提供的一层防护,防止提交的数据含有XSS攻击,只有请求里面含有CSRF令牌(随机字符串)才可以通过,否则会被禁止。这里不注释掉也可以写: action="/login/" method="POST"> {% csrf_token %} type="text" name="use
DjangoCSRF 入门
lelemom的博客
01-26 272
DjangoCSRF防护原理及使用    https://blog.csdn.net/haoaiqian/article/details/72803936 django为用户实现防止跨站请求伪造的功能,通过间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django设置防跨站请求伪造功能有分为全局和局部。 全局: 间件 djang...
django框架ajax的使用及避开CSRF 验证的方式详解
09-18
主要介绍了django框架ajax的使用及避开CSRF 验证的方式,结合实例形式分析了Django框架ajax后台交互与排除验证csrf相关操作技巧,需要的朋友可以参考下
django框架CSRF防护原理与用法分析
12-31
本文实例讲述了django框架CSRF防护。分享给大家供大家参考,具体如下: CSRF防护 一、什么是CSRFCSRF: Cross-site request forgery,跨站请求伪造 用户登录了正常的网站A, 然后再访问某恶意网站,该恶意网站...
Django框架CSRF使用篇
最新发布
json_li的博客
07-12 788
Csrf验证在项目对于安全非常重要,通过上述的csrf设置与使用,对django框架又增加了一些了解,在使用上可以更加的灵活。
django登录装饰器
荡浪的个人博客
08-23 832
django开发的过程,有框架自带的登录装饰器, from django.contrib.auth.decorators import login_required @login_required 但是这个登录装饰器有一定的不方便的地方,这里不在此进行说明。 在后续的开发过程,这个登录装饰器已经不满足开发的需求,下面是我学习开发过程写的一个装饰器,比以前的装饰器多了一些重定...
django自定义一个视图函数登录万能装饰器
weixin_42289273的博客
06-24 252
# 1. 自定义一个装饰器,用户必须登陆了才可以访问被装饰的视图函数 def my_login_required(func): def check_login_status(request): if request.session.get("is_login"): return func(request) else: return redirect(resolve_url("login")) return ch.
DjangoCSRF原理及应用详解
热门推荐
AlexGeek
09-22 1万+
 Web开发十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造(CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
模拟登录Django csrf验证 及 django_cas_server 模块验证
07-01 4444
直接上源码 # -*- coding:utf-8 -*- """ Created on 2017/7/1 @author: jj 模拟 csrf csrf 验证cookie csrftoken 和 post 请求csrfmiddlewaretoken 是否一致 再验证是否为 服务其发出的 csrftoken cas 验证规则 在 csrf 的基础上验证 post 请求 l
Django 关于csrf问题解决方式
冬凛的博客
10-19 1018
第一种方式:直接去掉警告,但不安全 第二种方式 在页面内写入csrf,
django 取消csrf限制
chen1042246612的博客
01-24 3126
# 导入包 from django.views.decorators.csrf import csrf_exempt # 使用装饰器即可避免csrf限制 @csrf_exempt def add_bookshelf(request): user_id = request.POST.get('user_id') print(user_id) return Htt...
Django CSRF 说明与配置
wanglei_storage的博客
12-21 3457
Django 默认对GET请求不做CSRF防御机制 Django 只对POST请求做CSRF防御机制 一、CSRF是什么 CSRF 全称(Cross Site Request Forgery)跨站请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。你可以这样理解:攻击者(黑客,钓鱼网站)盗用了你的身份,以你的 名义发送恶意请求,这些请求包...
djangoCSRF
Ayhan_huang的博客
09-18 497
CSRF,跨站请求伪造,是django内置的一个间件安全机制,相信大家都碰到过因为它而导致POST请求报错的情况,最简单的解决方案是在form加入 csrf_token:<form action="" method="post"> {% csrf_token %} <input type="text" name="name"> ...... </form>那么对于ajax
Django框架学习16--csrf防御机制及原理
铁马冰河入梦来
12-20 1307
csrf攻击说明 1.用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3.用户未退出网站A之前,在同一浏览器,打开一个TAB页访问网站B; 4.网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A; 5.浏览器在接收...
from django.views.decorators.csrf import csrf_exempt
05-17
`csrf_exempt` 是一个 Django 装饰器,用于标记一个视图函数,表示在处理该视图函数的 POST 请求时,不需要进行 CSRF 校验。 CSRF(Cross-site request forgery)跨站请求伪造,是一种常见的网络攻击方式。攻击者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

还是那个同伟伟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值