day93-3 安全攻击---csrf

最新推荐文章于 2024-08-21 23:42:00 发布
最新推荐文章于 2024-08-21 23:42:00 发布
阅读量64 收藏
点赞数
文章标签: python 前端 ViewUI
原文链接:http://www.cnblogs.com/lucky75/p/11373406.html
版权

安全攻击---csrf

  • csrf:跨站请求伪造
  • 通过伪装成受信任用户的请求来利用受信任的网站

三种常见的安全攻击

  1. sql注入(防御方式:使用execute提交参数)
  2. xss跨站脚本攻击(防御方式:对客户端发来的数据进行转义)
  3. csrf跨站请求伪造(防御方式:提交数据时进行验证)

csrf概念

攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。

csrf攻击原理及过程

  1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A
  2. 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A
  3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B
  4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A
  5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行

python防御原理

开启中间件(django.middleware.csrf.CsrfViewMiddleware),全局csrf验证后,当用post提交数据的时候,django会去检查是否有一个csrf的随机字符串,如果没有就会报错,这也是之前我们一直将其注释的原因。

开启全局的csrf验证

1. settings中,打开注释 'django.middleware.csrf.CsrfViewMiddleware',
2. 表单中,开启csrf_token

    <form>
        {% csrf_token %}    # 如果不书写,就会报错
        <input type='text'>
    </form>
# 使用这种方式,当你查看页面源码的时候,可以看到form中有一个input是隐藏的
# 总结原理:当用户访问login页面的时候,会生成一个csrf的随机字符串,,并且cookie中也存放了这个随机字符串,当用户再次提交数据的时候会带着这个随机字符串提交,如果没有这个随机字符串则无法提交成功
# 并且在查看页面的network时,会发现cookies下面多了一个csrftoken

开启全局的csrf,但是部分业务函数不进行检验

1. settings中,打开注释 ====》'django.middleware.csrf.CsrfViewMiddleware',
2. views中,引入如下函数
from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def csrf1(request):
    if request.method == 'GET':
        return render(request, 'csrf1.html')
    else:
        return HttpResponse('ok')
    
# 如上, 即便全局开启验证,但是可以使用装饰器进行特殊处理,对部分业务函数不进行检验

关闭全局的csrf, 但是部分业务函数要使用csrf验证

1. settings中,注释 ===》 #'django.middleware.csrf.CsrfViewMiddleware',
2. views中,引入如下函数
from django.views.decorators.csrf import csrf_protect

@csrf_protect
def csrf1(request):
    if request.method == 'GET':
        return render(request, 'csrf1.html')
    else:
        return HttpResponse('ok')

如果是CBV

from django.views.decorators.csrf import csrf_protect
from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator

# 如果是csrf_protect就是使用验证,csrf_exempt就是不使用验证
@method_decorator(csrf_protect, name='get') # 只能在get和post中选择一个
class User(View):
    def get(self, request):
        pass

    def post(self, request):
        pass

ajax方式

# 将token放置到请求头中, 携带过来
# 上面用一个hiddle的input把token拿到

token = $('input').val()
$.ajax({
    type: 'POST',
    URL: '/test/',
    data: {name:'xxx'},
    headers : {'X-CSRFToken': token},
    success: function(response){
        console.log(response)
    }
})

疑问:

在设置cookie和csrf后,在前端使用document.cookie获取到的却是csrf的值

转载于:https://www.cnblogs.com/lucky75/p/11373406.html

weixin_30258901
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
flask中的csrf防御机制
FreeSpider
07-17 2056
csrf概念 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自信任用户请求利用信任网站。与XSS攻击相比,CSRF攻击...
前端安全CSRF攻击
yleave的博客
07-03 937
个人博客 文章目录几种常见的 CSRF 攻击:1. GET 类型的 CSRF 攻击2. POST 类型的 CSRF 攻击3. 链接类型的 CSRFCSRF 特点防护策略同源检测几种 Referer 策略CSRF TokenCookie 的 SameSite 属性REF CSRF(Cross-site Request Forgery),跨站请求伪造攻击,简单来说就是攻击者诱导害者进入第三方网站,在第三方网站中,向被攻击网站发送请求,并利用害者在被攻击网站中获取的用户凭证,达到冒充害者的目的,并使用
xss和csrf详解
weixin_33737774的博客
08-29 340
XSSCross site scripting,全称“跨站脚本”特点是不对服务器造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论时,提交含有js的内容文本,而服务器没有过滤掉或者转义掉这些脚本,作为内容发布到页面上,那么其他用户在访问的时候就会运行这些脚本。for example:​ // 用 &lt;script type="text/javascript"&gt;&lt;/scrip...
5、CSRF漏洞(跨站请求伪造) 20190929
__Qian的博客
10-08 575
1、定义 CSRF通过伪装来自信任用户请求利用信任网站,通过一个包含恶意请求的图像利用已验证过的用户身份实现恶意请求 2、产生条件 HTTP请求中未添加Token字段验证(HTTP协议无状态的) 已经登录并授权信任网站A,并在本地生成cookie 在不退出网站A的情况下访问网站B,网站B中包含了一条指向网站A的敏感操作的链接 3、漏洞危害 攻击者可盗用你的身份,以...
安全测试之跨站请求伪造(CSRF)攻击
小太阳~
01-28 6954
一、CSRF攻击的概念CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络攻击方式,该攻击可以在害者毫不知情的情况下以害者名义伪造请求发送给攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,对用户安全网站安全具有很大的危害性。一、CSRF攻击的原理如下图所示,CSRF攻击的原理比较容易理解,其中Web A是存在CSRF漏洞的网站,Web B是
CSRF解决方案 (跨网站请求伪造攻击)
futureXgm的博客
10-12 3567
区别: XSS攻击站点内的信任用户,而CSRF则通过伪装来自信任用户请求利用信任网站.攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,发表评论,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全攻击方法: CSRF的主要手法是利用跨站请求,在用户不知情的情况下,以用户的身份伪造请求。其核...
CSRF攻击【重点】
qq_45844654的博客
04-13 308
XSS、SQL注入 1.什么是CSRF攻击 CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写 Larave框架中避免CSRF攻击很简单,Larave自动为每个用户Session生成了一个CSRF Token。该Token可用于验证登录用户和发起请求者是否是同一个人,如果不是则请求失败【该原理和验证码的原理一样】 Larave提供了一个全局帮助函数csrf_t...
田靖宇-day201
08-04
【标题】:“田靖宇-day201”可能涉及的主题是网络安全,特别是关于CSRF(Cross-Site Request Forgery)的讨论。 【描述】:描述中提到的是CSRF攻击的基本流程,用户C尝试登录信任网站A,验证通过后,网站A设置...
web-day4.rar
03-30
- 安全性:XSS、CSRF攻击防御,HTTPS,以及JWT(JSON Web Tokens)的身份验证。 - 性能优化:页面加载速度提升、懒加载、CDN使用等。 - 版本控制:Git的分支策略和协同工作流程。 每个主题都可能包括理论讲解、实例...
Module4-day4-Ung-dung-login
03-27
这包括防止SQL注入(使用预编译语句或参数化查询)、XSS攻击(使用编码或过滤用户输入)以及CSRF攻击(通过令牌机制进行防御)。 4. **异常处理(Exception Handling)**:在处理用户输入和连接数据库时,可能会...
藏经阁-企业安全建设点滴分享.pdf
08-28
3. 安全建设大致历程: - 应急响应:建立快速响应机制,识别资产,制定应急流程。 - 漏洞收集与管理:通过漏洞扫描、BSRC运营等手段发现并处理漏洞。 - 基线/策略:制定安全策略和标准,确保合规性。 - 意识教育...
web-attack
08-04
3. 跨站请求伪造(Cross-Site Request Forgery, CSRF):CSRF攻击利用了浏览器自动发送身份验证信息的特性,诱使用户在不知情的情况下执行非预期的操作。比如,攻击者可以创建一个链接,当害者点击时,该链接会...
Android笔试面试题AI答之Kotlin(20)
学无止境,止于至善
08-21 206
Elvis操作符(?:)是Kotlin(以及一些其他编程语言)中用于处理可空表达式的一种简洁方式。它允许在表达式的值为null时提供一个默认值,从而简化了空值的处理。在Kotlin中,构造函数(Constructor)是类的一个特殊方法,它用于初始化新创建的对象。与Java不同,Kotlin中的构造函数不是通过名称来定义的,而是与类名相同,并且没有返回类型(即使是void)。Kotlin支持主构造函数和次构造函数(也称为辅助构造函数或二级构造函数)。
yolov8 出现loss 为nan
zhaoluruoyan89的博客
08-21 64
这篇博客警示读者在购买用于深度学习的显卡时要避开那些导致RuntimeWarning: All-NaN slice encountered的问题。作者强调这些Tensor核心存在严重缺陷,不适宜进行深度学习任务,建议大家在选购时务必谨慎。方法二:将混合精度训练AMP 设置为False。方法一:降低cuda和pytorch 版本号。
基于Python星载气溶胶数据处理与反演分析
lwjnlqiqi的博客
08-21 604
Python星载气溶胶数据处理与反演分析
【pip镜像设置】pip使用清华镜像源安装
前端探索者
08-21 958
PyPI的镜像站点是用于加速Python包下载的服务器,它们提供了与官方PyPI相同的内容,但可能会因为地理位置更近而下载速度更快。进行python 的第三方库安装,但是,有时会出现。使用了清华大学的镜像网站
Transformer经典模型实战:零基础训练一个面向中文的T5模型(Text to Text Transfer Transformer)
bayesian1的博客
08-20 850
Transformer经典模型实战:零基础训练一个面向中文的T5模型(Text to Text Transfer Transformer),通过构建T5模型,采用中文重写任务的数据集进行训练,模型效果非常好,貌似还涌现出了一定的创造力。
python之matplotlib (5 散点图和柱状图)
这是C.L 的博客,欢迎大家学习浏览!!
08-20 340
附:colormap对照 '%.f'%y‘是标注数据的形式设置:保留两位小数,数据来源于y数组。也可以这样写:f'{y:.2f}',在它前面的参数是标注的位置。也可以是一个数组,表示每个点的颜色不同。ax.bar()中y参数是直方图的高度,其中facecolor是条形图的颜色,而edgecolor是除了条形图内的颜色。也可以是一个数组,表示每个点的大小不同。参数来指定一个colormap,用于映射颜色数组到颜色。
Python核心编程--Python要点总结
最新发布
GDHBFTGGG的博客
08-21 403
Python 核心编程包括了一些关键的要点,理解这些要点对于掌握 Python 至关重要。
python x-csrf-token
05-13
在使用 Python 发送 HTTP 请求时,如果请求需要携带 CSRF Token 的话,可以在请求头中添加 "X-CSRF-Token" 字段,并将 Token 值作为其值发送。 以下是一个示例代码: ```python import requests # 假设 CSRF ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值