django基础知识之csrf:

最新推荐文章于 2022-09-05 15:14:09 发布
最新推荐文章于 2022-09-05 15:14:09 发布
阅读量88 收藏
点赞数
原文链接:http://www.cnblogs.com/huwei934/p/6978687.html
版权

csrf

  • 全称Cross Site Request Forgery,跨站请求伪造
  • 某些恶意网站上包含链接、表单按钮或者JavaScript,它们会利用登录过的用户在浏览器中的认证信息试图在你的网站上完成某些操作,这就是跨站攻击
  • 演示csrf如下
  • 创建视图csrf1用于展示表单,csrf2用于接收post请求
def csrf1(request):
    return render(request,'booktest/csrf1.html')
def csrf2(request):
    uname=request.POST['uname']
    return render(request,'booktest/csrf2.html',{'uname':uname})
  • 配置url
url(r'^csrf1/$', views.csrf1),
url(r'^csrf2/$', views.csrf2),
  • 创建模板csrf1.html用于展示表单
<html>
<head>
    <title>Title</title>
</head>
<body>
<form method="post" action="/crsf2/">
    <input name="uname"><br>
    <input type="submit" value="提交"/>
</form>
</body>
</html>
  • 创建模板csrf2用于展示接收的结果
<html>
<head>
    <title>Title</title>
</head>
<body>
{{ uname }}
</body>
</html>
  • 在浏览器中访问,查看效果,报错如下:

  • 将settings.py中的中间件代码'django.middleware.csrf.CsrfViewMiddleware'注释
  • 查看csrf1的源代码,复制,在自己的网站内建一个html文件,粘贴源码,访问查看效果
防csrf的使用
  • 在django的模板中,提供了防止跨站攻击的方法,使用步骤如下:
  • step1:在settings.py中启用'django.middleware.csrf.CsrfViewMiddleware'中间件,此项在创建项目时,默认被启用
  • step2:在csrf1.html中添加标签
<form>
{% csrf_token %}
...
</form>
  • step3:测试刚才的两个请求,发现跨站的请求被拒绝了,效果如下图

取消保护
  • 如果某些视图不需要保护,可以使用装饰器csrf_exempt,模板中也不需要写标签,修改csrf2的视图如下
from django.views.decorators.csrf import csrf_exempt

@csrf_exempt
def csrf2(request):
    uname=request.POST['uname']
    return render(request,'booktest/csrf2.html',{'uname':uname})
  • 运行上面的两个请求,发现都可以请求
保护原理
  • 加入标签后,可以查看源代码,发现多了如下代码
<input type='hidden' name='csrfmiddlewaretoken' value='nGjAB3Md9ZSb4NmG1sXDolPmh3bR2g59' />
  • 在浏览器的调试工具中,通过network标签可以查看cookie信息
  • 本站中自动添加了cookie信息,如下图

  • 查看跨站的信息,并没有cookie信息,即使加入上面的隐藏域代码,发现又可以访问了
  • 结论:django的csrf不是完全的安全
  • 当提交请求时,中间件'django.middleware.csrf.CsrfViewMiddleware'会对提交的cookie及隐藏域的内容进行验证,如果失败则返回403错误

转载于:https://www.cnblogs.com/huwei934/p/6978687.html

weixin_30483013
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python框架Django基础知识.docx
06-12
4. **安全特性**:Django集成了多种安全防护措施,如防止XSS、CSRF、SQL注入等,确保了应用程序的安全性。 5. **自动管理**:Django能自动处理常见的编程错误,并在出错时提供有用的调试信息,降低了调试难度。 ...
Django基础知识 web框架的本质详解
09-19
虽然这很基础,但这样做不包含Django提供的许多高级特性,如ORM(对象关系映射)、自动化管理界面、中间件、缓存系统以及内置的安全性。 Django的强大力量在于它的模块化和可扩展性。它提供了许多内置功能,如身份...
【Web 安全】CSRF 攻击详解
热门推荐
weixin_44211968的博客
05-11 1万+
文章目录一、CSRF 简介二、CSRF 原理三、CSRF 的危害四、CSRF 的攻击类型五、CSRF 的防御1. 验证 HTTP Referer 字段2. 在请求地址中添加 token 并验证3. 在 HTTP 头中自定义属性并验证参考链接 一、CSRF 简介 CSRF(Cross Site Request Forgery,跨站域请求伪造),也被称为 “One Click Attack” 或者 Session Riding,通常缩写为 CSRF 或者 XSRF 。 尽管听起来像跨站脚本(XSS),但它与X
(29.1)【CSRF详解】CSRF原理、利用过程、分类、举例、工具……
04-06 9717
一个细节都不不想放过
带你了解CSRF和XSS(二)
weixin_30762087的博客
04-01 261
什么是CSRFCSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。 CSRF攻...
CSRF 详情讲解 !!!
最新发布
weixin_52834606的博客
09-05 3089
CSRF 详解 ! spring security 攻击
DjangoCSRF原理及应用详解
AlexGeek
09-22 1万+
 Web开发中十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造(CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
django-deployment-example:来自Udemy
02-18
Python是这个项目的基础,因为它是最底层的语言,Django就是用Python编写的。Python以其简洁明了的语法和丰富的库支持而闻名,是Web开发的理想选择。学习Python和Django能让你构建功能丰富的Web应用,并具备良好的可...
django-forms:Django表单基础
04-15
本篇文章将深入探讨Django表单的基础知识,包括如何创建表单、渲染表单、处理表单数据以及验证表单。 首先,创建Django表单需要定义一个表单类,这个类通常继承自`forms.Form`或`forms.ModelForm`。`forms.Form`...
django_local_library:Prueba de Produccion
02-18
Django框架提供了许多内置的安全措施,但开发者仍需遵循最佳实践,如使用CSRF(跨站请求伪造)保护、对敏感数据进行加密等。 6. **性能优化**:为了提供良好的用户体验,项目可能采用了缓存策略(如Django缓存框架...
CSRF知识点总结
千寻的博客
02-08 874
文章目录第一章 概述 实战:与XSS 的结合添加后台账号 攻击者可以通过XSS 来触发CSRF 攻击。因为,可以利用JS 来发送请求。 通过研究受害网站的业务流程,攻击者可以构造如下代码。 第一章 概述 概述 跨站请求伪造(Cross-site request forgery,CSRF)是一种攻击,它强制终端用户在当前对其进行身份验证后的Web应用程序上执行非本意的操作。 CS...
Django框架学习16--csrf防御机制及原理
铁马冰河入梦来
12-20 1314
csrf攻击说明 1.用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3.用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 4.网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A; 5.浏览器在接收...
vue+django前后端分离,如何解决csrf传输问题
yu11men的博客
09-07 4345
使用django时,django框架都会自带csrf的验证功能,根据django的使用文档一般是在前端页面的form表单里添加{% csrf_token %}标签,当浏览器加载该页面时,django会解析模板页面,渲染{% csrf_token %}为一个input标签,如下图所示: html页面代码 <form> {% csrf_token %} ..... </for...
利用django中间件CsrfViewMiddleware防止csrf攻击
weixin_30851867的博客
10-09 732
一、在django后台处理 1、将django的setting中的加入django.contrib.messages.middleware.MessageMiddleware,一般新建的django项目中会自带的。 MIDDLEWARE_CLASSES = [ 'django.middleware.security.SecurityMiddleware', 'django.cont...
django2.2-django的简单使用、html表单的提交方法、CSRF令牌用法、request对象的基本方法
花城的博客
09-15 319
系列文章目录 文章目录系列文章目录一、django的简单使用1. 配置模板文件夹2. 配置路由3. 编写视图二、html表单的提交方法三、CSRF令牌用法四、request对象的基本方法 一、django的简单使用 1. 配置模板文件夹 在项目的根目录(即manage.py所在的目录)下,手动创建一个templates文件夹,用来存放模板文件,即html文件。 然后打开settings.py文件,找到TEMPLATES配置项,将里面的'DIRS':[]改为'DIRS': [os.path.join(BASE
Django进阶之CSRF
weixin_33795093的博客
01-13 259
 简介 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。 全局: 中间件 django.middleware.csrf.CsrfViewMiddleware 局部: @csrf_protect,为当前函数强制设置防跨站请求伪造功...
csrf
songtaiwu的博客
03-06 234
在yii2.0中,默认csrf校验是开启的。页面中,使用小部件ActiveForm,默认会生成一个带有_csrf值的隐藏域。如果不用ActiveForm,也能调用Request中的方法自己生成。例子1:use yii\widgets\ActiveForm;use yii\helpers\Html; &lt;?php $form = ActiveForm::begin();?&gt;&lt;?=Ht...
CSRF攻击与防御,web安全的第一防线
python小霸王
01-30 807
CSRF攻击与防御,web安全的第一防线 目录: 一、CSRF介绍 二、CSRF攻击的危害 三、CSRF攻击原理及过程 四、CSRF漏洞检测 五、CSRF漏洞预防 六、最后聊聊xss 一、CSRF介绍 CSRF(Cross-site request forgery) 跨站请求伪造,也被称为“OneClick Attack”或者Session Riding,通
csrf 原理与解决方案
水墨江南
10-09 6394
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值