django csrf_protect及浏览器同源策略

最新推荐文章于 2024-04-07 19:58:05 发布
最新推荐文章于 2024-04-07 19:58:05 发布
阅读量80 收藏
点赞数
原文链接:http://www.cnblogs.com/Undo-self-blog/p/8981172.html
版权

1.django在检测post行为时会有诸多的限制。

为了防止跨域请求伪造安全

参考:http://www.qttc.net/201209211.html

     https://www.cnblogs.com/zhaof/p/6281482.html

 

2.为什么要进行csrf的控制?

浏览器遵从同源策略,杜绝了大部分的伪造请求,保证用户信息的安全,防止恶意的网站窃取数据。但浏览器同时还规定,提交表单不受同源政策的限制。

为什么提交表单(post)不受同源政策的限制?

post行为被浏览器认为是安全的,本事action请求后会进行界面跳转,post本体无法获得返回的数据。但post的行为对于服务器还是起作用了。且ajax下的post行为受同源策略控制,无法进行跨域请求。post主体无法从返回的结果中得到任何东西,他所能做的就是给服务器发送请求,以执行请求中所描述的命令,在服务器端直接改变数据的值,而非窃取服务器中的数据。所以,我们要保护的对象是那些可以直接产生数据改变的服务,而对于读取数据的服务,则不需要进行 CSRF 的保护。

参考:https://www.cnblogs.com/chenchao1990/p/5339779.html

 

3.什么是浏览器同源策略?有什么限制?如何绕开它?

同源指url协议、域名、端口相同,如果非同源,共有三种行为受到限制。

(1) Cookie、LocalStorage 和 IndexDB 无法读取。

(2) DOM 无法获得。

(3) AJAX 请求不能发送

参考:http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html

 

转载于:https://www.cnblogs.com/Undo-self-blog/p/8981172.html

Django——CSRF权限认证处理
胖大xian
02-08 661
CSRF权限认证 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 一、简单说明csrf如何操作 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经
Django框架(二十四:前后端分离之分页的设置和csrf认证的解决)
qq_41989320的博客
12-03 2449
前后端分离开发和混合开发的区别还是很大的。前后端分离我们需要遵循restful规范,先介绍什么是restful api规范 a.同一种数据的操作,只设置一个url路由。也就是根据请求方法来区分具体的处理逻辑。而不再设置多个增删改查的路由。 (1)可以基于FBV来通过请求方法的不同,处理不同的逻辑。 url(r'^order/', views.order), ...
浅谈Django 的删除策略:PROTECT、CASCADE、SET_NULL、SET_DEFAULT
weixin_56314697的博客
04-07 421
当一个外键关联的模型被删除时,Django 会自动保护与之相关的模型实例不被删除。这种保护是基于数据库的,所以在数据库层面上,相关的模型实例不会被删除。当一个模型被删除时,Django 会自动将与之关联的模型的外键设置为 null。这种操作会改变数据库的数据结构,但不会删除与之关联的模型实例。当一个模型被删除时,Django 会自动将与之关联的模型的外键设置为默认值。当一个模型被删除时,Django 会自动删除与其关联的模型实例。这种删除是级联的,它会递归地删除所有与该模型相关的记录。
Django之Model关系
qq_45432157的博客
12-07 1561
Django之Model关系前言一对一关系(OneToOneField)1. 主从表关系2. on_delete 有五种常用的选项2.1 models.CASCADE(默认选项)2.2 models.PROTECT2.3 models.SET_NULL2.4 models.SET_DEFAULT2.5 models.SET()3. 主从表间的数据访问一对多关系(ForeignKey)主从表间的数据...
django 1.8 官方文档翻译:6-3 Django异常
weixin_33953249的博客
09-23 312
Django异常 DJango会抛出一些它自己的异常,以及Python的标准异常。 Django核心异常 Django核心异常类定义在django.core.exceptions中。 ObjectDoesNotExist _exception _ObjectDoesNotExist[source] DoesNotExist异常的基类;对O...
Django 解决 csrf_protect的方法
白氏可乐python学习归纳区
11-14 7102
直接看别人的页面吧~~ http://www.qttc.net/201209211.html
Django外键的删除
Hello World!
12-27 9840
转自:http://2goo.info/blog/panjj/Django/2011/04/23/515 Django 1.3版本以后,对models外键进行了扩展,记得之前models的外键删除,都是级联删除的,举个例子好理解:Cateogry和Blog关系,Cateory有多个Blog,所以常常在Blog实体里新建一个category的外键,当我们删除一个Category的时候,归属
为什么浏览器同源策略,了解下CSRF
大大黄的博客
09-24 1682
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,...
Django CSRF Decorator故障排除】:快速解决CSRF问题的专家技巧
![【Django CSRF Decorator故障排除】:快速解决CSRF问题的专家...其中,CSRF Decorator是Django提供的一个用于防止跨站请求伪造(Cross-Site Request Forgery,CSRF)的机制。它要求用户在执行某些操作时,提交一个有
django csrf
我是张先生
11-28 93
参考
django CSRF protect (防止出现Forbidden 403)
shuifa2008的专栏
03-15 4055
利用django的中间件CsrfViewMiddleware,settings里配置 MIDDLEWARE_CLASSES = (     'django.middleware.common.CommonMiddleware',     'django.contrib.sessions.middleware.SessionMiddleware',     'django.middl
【安全】(二)Djangocsrf防御
财迷的博客
02-28 1333
【安全】(二)Djangocsrf防御
Django CSRF Decorator集成第三方认证】:权威指南,安全无缝集成OAuth_Social Auth
本章将深入探讨CSRF攻击的工作原理及其防护机制,并分析在Django框架中的应用。 ## 1.1 CSRF攻击原理 CSRF攻击通常通过诱导用户访问一个恶意构造的链接或网页来实现。攻击者利用用户已经与某网站建立的认证信任,让...
Django CSRF
光明小学王小雨的博客
12-16 1936
一、CSRF攻击攻击原理及过程 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式 1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B...
实验室设备管理系统 SSM毕业设计 附带论文.zip
11-14
实验室设备管理系统 SSM毕业设计 附带论文 启动教程:https://www.bilibili.com/video/BV1GK1iYyE2B
PPT高效插件神器推荐-最新发布.zip
最新发布
11-14
PPT高效插件神器推荐-最新发布.zip
数据中心机房基础设计及规划方案.pdf
11-14
数据中心机房是现代信息技术的核心设施,它承载着企业的重要数据和服务,因此,其基础设计与规划至关重要。在制定这样的方案时,需要考虑的因素繁多,包括但不限于以下几点: 1. **容量规划**:必须根据业务需求预测未来几年的数据处理和存储需求,合理规划机房的规模和设备容量。这涉及到服务器的数量、存储设备的容量以及网络带宽的需求等。 2. **电力供应**:数据中心是能源消耗大户,因此电力供应设计是关键。要考虑不间断电源(UPS)、备用发电机的容量,以及高效节能的电力分配系统,确保电力的稳定供应并降低能耗。 3. **冷却系统**:由于设备密集运行,散热问题不容忽视。合理的空调布局和冷却系统设计可以有效控制机房温度,避免设备过热引发故障。 4. **物理安全**:包括防火、防盗、防震、防潮等措施。需要设计防火分区、安装烟雾探测和自动灭火系统,设置访问控制系统,确保只有授权人员能进入。 5. **网络架构**:规划高速、稳定、冗余的网络架构,考虑使用光纤、以太网等技术,构建层次化网络,保证数据传输的高效性和安全性。 6. **运维管理**:设计易于管理和维护的IT基础设施,例如模块化设计便于扩展,集中监控系统可以实时查看设备状态,及时发现并解决问题。 7. **绿色数据中心**:随着环保意识的提升,绿色数据中心成为趋势。采用节能设备,利用自然冷源,以及优化能源管理策略,实现低能耗和低碳排放。 8. **灾难恢复**:考虑备份和恢复策略,建立异地灾备中心,确保在主数据中心发生故障时,业务能够快速恢复。 9. **法规遵从**:需遵循国家和地区的相关法律法规,如信息安全、数据保护和环境保护等,确保数据中心的合法运营。 10. **扩展性**:设计时应考虑到未来的业务发展和技术进步,保证机房有充足的扩展空间和升级能力。 技术创新在数据中心机房基础设计及规划方案中扮演了重要角色。例如,采用虚拟化技术可以提高硬件资源利用率,软件定义网络(SDN)提供更灵活的网络管理,人工智能和机器学习则有助于优化能源管理和故障预测。 总结来说,一个完整且高效的数据中心机房设计及规划方案,不仅需要满足当前的技术需求和业务目标,还需要具备前瞻性和可持续性,以适应快速变化的IT环境和未来可能的技术革新。同时,也要注重经济效益,平衡投资成本与长期运营成本,实现数据中心的高效、安全和绿色运行。
Visio软件全套资源及教程-最新发布.zip
11-14
Visio软件全套资源及教程-最新发布.zip
2000-2022年中国地级市生态韧性数据集(含原始数据、计算代码及结果,最新).zip
11-14
2000-2022年中国地级市生态韧性数据集(含原始数据、计算代码及结果,最新).zip
Spring Cloud 配置相关项目.zip
11-14
1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值