XSS CSRF攻击

最新推荐文章于 2024-07-12 19:30:19 发布
最新推荐文章于 2024-07-12 19:30:19 发布
阅读量67 收藏
点赞数
文章标签: python 前端 后端 ViewUI
原文链接:http://www.cnblogs.com/huikejie/p/11213284.html
版权

网页攻击

Xss攻击

1、原理

  xss攻击为跨站脚本攻击,主要原因是用户输入的内容不可控形式为在别人的评论区,

  或者留言板写入js代码并且提交,如果我们不添加防护措施,就会造成,输入的

  js代码会被浏览器解析执行,从而让别人获取到我们浏览器中的信息

2、代码

  django中是默认有xss保护的,

  如果我们想要取消xss保护,通关 管道符 加上 safe

  前端接收参数  {{ page_info | safe }}

  后端直接传入js代码, 就可以被浏览器解析执行

CSRF攻击

  csrf攻击为跨站伪造攻击

  当我们访问了不受信任的网站时,某一个图片或者连接很有可能会将我们

  浏览器的一些信息发送到黑客的电脑上,然后他们伪造我们去一些受信任的

  网站对我们的账号进行一些操作(可以轻松拿到我们的cookie)

由此可见,普通的cookie验证防护不了这种csrf攻击,因此我们通过服务器给浏览器发送

一个token字符串进行认证

1、开启csrf验证Djan配置中开启CSRF中间件

'django.middleware.csrf.CsrfViewMiddleware',

 

 

 

b. 前端表单中开启csrf_token

<form action="">
    {% csrf_token %}
    <input type="text">

 

 

 

2、当我们开启csrf认证后,想要让部分业务逻辑关闭csrf认证 

from django.views.decorators.csrf import csrf_exempt
# 先导入csrf_exempt
@csrf_exempt
def test2(request):
    pass

  这样即便开启了全局csrf认证,也能通过装饰器关闭test2的csrf认证

3、当我们关闭csrf认证后,想要让部分业务逻辑开启csrf认证

from django.views.decorators.csrf import csrf_protect
# csrf_protect
@csrf_protect
def test2(request):
    pass

4、CBV装饰器的使用

  我们上面演示的都是FBV,如果是CBV

from django.views.decorators.csrf import csrf_protect,csrf_exempt
from django.utils.decorators import method_decorator
#csrf_protect 表示关闭的全局csrf认证, 开启部分csrf认证
#csrf_exempt 表示开启全局csrf认证, 关闭部分csrf认证
# name  表示只使用于某种提交的方式
@method_decorator(csrf_exempt,name="get")
class Test(object):
    def get(self):
        pass
    def post(self):
        pass

 

5、ajax提交token的方式

<script>
{#    首先我们要获取到token#}
{#通过属性选择器找到存放token值的标签  $("input[name='csrfmiddlewaretoken']") #}
    csrf_token = $("input[name='csrfmiddlewaretoken']").val();
    $.ajax({
        type:"post",
        url:"/test2/",
        {#token放在headers中提交过去,并且headers里面的key时固定的#}
        headers:{"X-CSRFToken":csrf_token},
        success:function () {
        }
    })
</script>

 

转载于:https://www.cnblogs.com/huikejie/p/11213284.html

weixin_30273763
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSSCSRF攻击以及预防手段
南栀的博客
03-12 4867
文章目录XSS反射型持久型DOM型XSS如何防御?CSRF XSS XSS全程Cross Site Scripting,名为跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。 恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。 比如获取用户的 Cookie、导航到恶意网站、携带木马等。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。 有很多种方式进行 XSS 攻击,但它
XSSCSRF 攻击
gxll499294075的博客
03-21 191
一、XSS 1.1 XSS概念 XSS(Cross Site Scripting):跨域脚本攻击。 1.2 XSS攻击原理 XSS攻击的核心原理是:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。 最后导致的结果可能是: 盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击 1.3 XSS攻击方式 1.3.1 反射型 发出请求时,XSS代码出现在u...
XSSCSRF 攻击详解
xnxqwzy的博客
05-01 353
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
XSS攻击CSRF攻击
weixin_47198976的博客
08-28 390
XSS攻击CSRF攻击
XSSCSRF攻击防御
热门推荐
zl的博客
08-17 1万+
一、概念: XSS攻击全称跨站脚本攻击(Cross Site Scripting); CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF; 二、XSS 什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于...
XSSCSRF两种跨站攻击总结
02-26
在那个年代,大家一般用拼接字符串的方式...但最近又听说了另一种跨站攻击CSRF,于是找了些资料了解了一下,并与XSS放在一起做个比较。XSS全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是
TokenBasedUnsafe:一个展示XSSCSRF攻击的网站
05-14
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的... Webiste演示了XSSCSRF攻击是如何发生的。
跨站攻击(XSS+CSRF).docx
01-05
3. 从攻击者和受害者角度理解CSRF攻击,实施Low、Medium、High等级的CSRF攻击。 4. 学习并实践CSRF的修复措施,如使用CSRF Token等。 5. 撰写实验报告,注重规范性、逻辑性和表达清晰度。 实验过程中,学生将使用...
Yii框架防止sql注入,xss攻击csrf攻击的方法
10-21
主要介绍了Yii框架防止sql注入,xss攻击csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入,xss攻击csrf攻击的防范方法与相关函数调用注意事项,需要的朋友可以参考下
cv2读取和保存图片
m0_53291740的博客
07-12 69
cv2.imwrite('b\\img1.png',img)#b存在就可以保存进去。如果b存在,c不存在,程序不会报错,也不会保存图片。如果目录b不存在就会存到当前文件夹。
面试题 21:解释 Python 中的 help() 函数和 dir() 函数?
专注于全栈开发领域
07-10 730
Python中,help()和dir()是两个非常有用的内置函数,它们可以帮助开发者更好地了解Python对象和模块。
聊聊如何在内网下构建大模型微调环境
python1234567_的博客
07-12 540
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。
基数排序算法Python实现
PeterClerk的博客
07-09 547
基数排序算法实现
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
小明的Java问道之路
07-08 2229
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
java占位符替换五种方式
weixin_61478518的博客
07-08 523
在业务开发中,经常需要输出文本串。其中,部分场景下大部分文本内容是一样的,只有少部分点是不一样。简单做法是直接拼接字段,但是这会有个问题。后面如果想要修改内容,那么每个地方都要修改,这不符合设计模式中的开闭原则,面向应该对扩展开放,对修改关闭。如何解决这个问题?先来看现实生活中的例子,个人信息填写。一般会要填写表格,已经定义好了姓名,性别,年龄等字段,只要填写对应的个人信息就好了。在程序开发中,我们会预先定义好一个字符串模板,需要改动的点使用占位符。
守望数据边界:sklearn中的离群点检测技术
2401_85742452的博客
07-08 760
本文的目的是帮助读者更好地理解离群点检测,并掌握在sklearn中实现这些技术的方法。通过本文,我们了解到了sklearn中不同的离群点检测技术,并提供了实际的代码示例。Isolation Forest是一种基于随机森林的离群点检测方法,它通过随机选择特征和切分点来“孤立”离群点。在实际应用中,离群点检测可以帮助我们识别数据集中的异常行为,从而进行进一步的分析或采取预防措施。评估离群点检测的效果通常比较困难,因为没有绝对的标准。基于密度的方法,如DBSCAN,根据数据点的密度而非固定阈值来识别离群点。
华为910b推理Qwen1.5-72b
weixin_41549308的博客
07-12 522
910b部署推理大模型
编程学单词:delta(希腊字母Δ/δ),差值表示
m0_57158496的博客
07-11 1000
结语:代码编写中,用“通用”字符命名相应变量,是一个不错的好习惯。其一,不用注释,望文生义,简单明了;其二,代码书写形式风格“标准”统一,方便维护和流转。说明:今天我在堆叠代码时发现有delta样子的单词存在,修习之,对代码书写大有裨益。从今以后,我遇到类似的单词,都将在学习笔记中标识、分享。😋回页目录。
Python进阶 2024/7/10
最新发布
weixin_73793099的博客
07-12 199
open()打开函数name:打开的目标文件的字符串,可以包含文件所在的具体路径mode:访问模式,只读,只写,追加encoding:编码格式,推荐使用UTF-8r:只读w:用于写入a:用于追加,如果该文件已经存在,新的内容会被写到已有的内容之后;如果文件不存在,创建新文件进行写入。
sql注入 xss攻击csrf攻击的区别
06-13
SQL注入、XSS(跨站脚本攻击)和CSRF(跨站请求伪造)是三种常见的网络安全威胁,它们针对的应用场景和攻击机制有所不同。 1. SQL注入: - **定义**:攻击者通过在输入字段中...3. CSRF攻击如何通过令牌机制来防范?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值