Django--CSRF 跨站请求伪造

最新推荐文章于 2024-08-12 14:30:00 发布
最新推荐文章于 2024-08-12 14:30:00 发布
阅读量65 收藏
点赞数
文章标签: python javascript ViewUI
原文链接:http://www.cnblogs.com/polly-ling/p/9663421.html
版权

一、简介

django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。

全局:

  中间件 django.middleware.csrf.CsrfViewMiddleware

局部:

  • @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
  • @csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

注:from django.views.decorators.csrf import csrf_exempt,csrf_protect

 

 

二、应用

1、普通表单  form 提交

form 表单内 {% csrf_token %}

 

 

2、Ajax

 

对于传统的form,可以通过表单的方式将token再次发送到服务端,而对于ajax的话,使用如下方式。

<!DOCTYPE html>
<html>
<head lang="en">
    <meta charset="UTF-8">
    <title></title>
</head>
<body>
    {% csrf_token %}
  
    <input type="button" οnclick="Do();"  value="Do it"/>
  
    <script src="/static/plugin/jquery/jquery-1.8.0.js"></script>
    <script src="/static/plugin/jquery/jquery.cookie.js"></script>
    <script type="text/javascript">
        var csrftoken = $.cookie('csrftoken');
  
        function csrfSafeMethod(method) {
            // these HTTP methods do not require CSRF protection
            return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
        }
        $.ajaxSetup({
            beforeSend: function(xhr, settings) {
                if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
                    xhr.setRequestHeader("X-CSRFToken", csrftoken);
                }
            }
        });
        function Do(){
  
            $.ajax({
                url:"/app01/test/",
                data:{id:1},
                type:'POST',
                success:function(data){
                    console.log(data);
                }
            });
  
        }
    </script>
</body>
</html>

 

转载于:https://www.cnblogs.com/polly-ling/p/9663421.html

weixin_30371875
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Django CSRF跨站请求伪造防护过程解析
09-18
通过理解DjangoCSRF防护机制,开发者可以更好地保护其Web应用免受跨站请求伪造的攻击,确保用户数据的安全。在开发过程中,始终遵循最佳安全实践,定期审计和测试应用的防护措施,是保障Web应用安全的重要环节。
Django中如何防范CSRF跨站请求伪造攻击的实现
09-19
### Django中如何防范CSRF跨站请求伪造攻击的实现 #### CSRF概念 CSRF(Cross-Site Request Forgery,跨站请求伪造),是一种常见的安全攻击手段。在这种攻击中,攻击者利用受害者的身份(通常是通过受害者已...
iview-admin配置post请求(随笔)
qq_41377857的博客
08-05 2504
1,注释main.js下的 if (process.env.NODE_ENV !== 'production') require('@/mock') 2.设置跨域 vue.config.js里 // devServer: { // proxy: 'http://xxxxxx/api/' //} 3.设置headers头 lib/axios.js文件里,删除conten...
vue -- iview-admin设置动态路由导航权限
Knight__D
03-21 2715
由于后端不能完全返回导航结构的问题,导致导航权限控制需要前端配合处理。 流程如下: 前端定义好所有的router,通过后端返回数据进行对比处理显示 (此项目中,所要进行的数据处理如下:1.统一前后端对于导航名称的定义 2.不同类型的模块接口项不同) first day: 1.在routers.js 文件中定义好初始路径,通过接口请求数据,然后对数据处理 在此过程中遇到的问题: 1...
Django--csrf跨站请求伪造、Auth认证模块
weixin_30606669的博客
09-22 162
form表单中使用跨站请求伪造   { % csrf_token % }  会动态生成一个input框,内部的value是随机刷新的 如果不想校验csrf   from django.views.decorators.csrf import csrf_exempt, csrf_protect   然后在不想装饰的函数的上面加上@csrf_exempt    如果只...
Django 2.1.7 模板 - CSRF 跨站请求伪造
DevOps海洋的渔夫@专栏
06-29 173
相关篇章 Django 2.1.7 创建应用模板 Django 2.1.7 配置公共静态文件、公共模板路径 Django 2.1.7 模板语言 - 变量、标签、过滤器、自定义过滤器、模板注释 Django 2.1.7 模板继承 Django 2.1.7 模板 - HTML转义 参考文献 https://docs.djangoproject.com/zh-hans/2....
Django中间件之csrf跨站请求伪造
weixin_46407419的博客
03-10 299
csrf跨站请求伪造 CSRF(Cross Site Request Forgery) 跨站请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。如果从名字你还不不知道它表示什么,你可以这样理解:攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私...
Backend - Django CSRF 跨域请求伪造
是萝卜干呀的博客
01-29 1019
知识量决定了未来能走多远
django-csrftoken跨站请求伪造
pyhui的技术博客
09-06 179
隐藏域的演示 获取了隐藏域,依旧伪造
31. Django 2.1.7 模板 - CSRF 跨站请求伪造
DevOps海洋的渔夫@专栏
10-15 173
参考文献https://docs.djangoproject.com/zh-hans/2.1/topics/templates/CSRFCSRF全拼为Cross Site Request...
Django网络安全】如何正确防护CSRF跨站请求伪造
黎明总是如期而至
04-09 751
CSRF(Cross-site request forgery),中文名跨站请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器中的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
django-csrf使用和禁用方式
12-20
Django CSRF跨站请求伪造)是Web应用中一种安全机制,用于防止恶意第三方伪造用户的请求。在Django框架中,CSRF保护是默认启用的,以确保只有合法的用户操作才能被执行。以下是对标题、描述和标签内容的详细解释:...
大模型微调工具-torchtune
weixin_40777649的博客
08-08 947
1.定义2.安装3. 案例。
Python 算法交易实验80 QTV200日常推进-目标估算
yukai08008的博客
08-10 446
业务目标在先,月利3%是第一个目标。虽然日常有在常规推进,但目标是什么?现在做的是什么?与目标的关联是什么?业务上讲,如果月利能够达到3%(几何平均),上下波动不超过1%,就算达标了(2%~4%)。考虑到金融领域有不可测风险,所以资金还会分摊到3个月。例如,假如总投资资金是30万,那么每个月的最大投资金额是10万。这样即使遇到大跳水,问题也不大。目标达到的话,10万本金每月的盈利是3000, 按复利计,24个月就会double,我觉得已经足够理想。假设投资90万,则可以按30万计算复利效果。
网络安全入门教程(非常详细)从零基础入门到精通,看完这一篇就够了。
最新发布
2401_84466359的博客
08-12 388
这个方向更符合于大部分人对“黑客”的认知,他们能够黑手机、黑电脑、黑网站、黑服务器、黑内网,万物皆可黑(当然是要有授权的,不然进橘子我可不管),这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。是一种面向对象、直译式电脑编程语言,具有近二十年的发展历史,成熟且稳定。压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
NVIDIA-CUDA
qq_41081716的博客
08-08 432
CUDA 是一种强大的并行计算平台,它极大地扩展了 GPU 的用途,使其不仅仅局限于图形处理。通过利用 CUDA,开发人员可以编写高效、高性能的并行应用程序,这些应用程序可以用于各种计算密集型任务。如果您正在从事高性能计算或需要加速计算任务的工作,CUDA 是一个非常有用的工具。
pytorch下载慢,如何下载到本地再去安装,本地安装pytorch
weixin_53035684的博客
08-09 454
本地安装torch
Falsk测试与部署(第九阶段)
蜡笔小新星的博客
08-09 633
在本章节中,我们学习了如何使用unittest和pytest进行单元和集成测试,以及如何配置Flask应用,使用WSGI服务器部署,容器化Flask应用并将其部署到各种云服务平台。通过这些步骤,你可以确保你的Flask应用在生产环境中的稳定性和可靠性。希望这些知识能够帮助你在实际项目中更好地实现测试和部署。
Django中的CSRF(跨站请求伪造)
05-21
Django中的CSRF是一种安全机制,可以防止跨站请求伪造攻击。在Django中,默认情况下,所有的POST、PUT、DELETE请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。 具体来说,Django在生成表单时会自动在表单中添加一个隐藏的input元素来存储CSRF令牌,例如: ```html <form method="post"> {% csrf_token %} <!-- 其他表单元素 --> </form> ``` 当用户提交表单时,Django会验证请求中的CSRF令牌是否与服务器端生成的令牌匹配。如果不匹配,则Django会抛出一个`CSRFTokenError`异常,阻止请求继续进行。 除了在表单中添加CSRF令牌外,还可以使用Django提供的`csrf_exempt`装饰器来排除某个视图函数或类的CSRF验证,例如: ```python from django.views.decorators.csrf import csrf_exempt from django.http import HttpResponse @csrf_exempt def my_view(request): # 不进行CSRF验证的代码 return HttpResponse('OK') ``` 需要注意的是,如果你关闭了CSRF验证,或者在某些情况下不使用CSRF令牌,那么你需要确保其他安全措施的存在,以保证你的应用程序不会受到跨站请求伪造攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值