跨站请求

最新推荐文章于 2024-04-19 21:04:29 发布
最新推荐文章于 2024-04-19 21:04:29 发布
阅读量62 收藏
点赞数
原文链接:http://www.cnblogs.com/fengzaoye/p/5416424.html
版权

本文章内容:dango下的跨站请求设置

 

   

全局:

  中间件 django.middleware.csrf.CsrfViewMiddleware

 

局部(调用装饰器):

  前提:from django.views.decorators.csrf import csrf_exempt,csrf_protect

  • @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
  • @csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

应用

1、普通表单

  veiw中设置返回值:

   return  render_to_response( 'Account/Login.html' ,data,context_instance = RequestContext(request))  
 
    html中设置Token:
     { %  csrf_token  % }
 
2、Ajax
  对于传统的form,可以通过表单的方式将token再次发送到服务端,而对于ajax的话,使用如下方式。
 
  from django.template.context import RequestContext #import函数
    # Create your views here.
 
 
     def  test(request):
 
        if  request.method  = =  'POST' :
           print  request.POST
           return  HttpResponse( 'ok' )
        return   render_to_response( 'app01/test.html' ,context_instance = RequestContext(request))
 
       或者使用render(),它是默认调用RequestContext功能,可在源码获知。
  以上是views配置。
 
     模板配置: 
<!DOCTYPE html>
<html>
<head lang = "en" >
     <meta charset = "UTF-8" >
     <title>< / title>
< / head>
<body>
     {% csrf_token %}
 
     < input  type = "button"  onclick = "Do();"   value = "Do it" / >
 
     <script src = "/static/plugin/jquery/jquery-1.8.0.js" >< / script>
     <script src ="/static/plugin/jquery/jquery.cookie.js" >< / script>
     <script  type = "text/javascript" >
         var csrftoken = $.cookie('csrftoken');
 
        function csrfSafeMethod(method) {
            // these HTTP methods do not require CSRF protection
            return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
        }
        $.ajaxSetup({
            beforeSend: function(xhr, settings) {
                if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
                    xhr.setRequestHeader("X-CSRFToken", csrftoken);
                }
            }
        });
         function Do(){
 
             $.ajax({
                 url: "/app01/test/" ,
                 data:{ id : 1 },
                 type : 'POST' ,
                 success:function(data){
                     console.log(data);
                 }
             });
 
         }
     < / script>
< / body>
< / html>
   
标红部分为必填!
更多:https://docs.djangoproject.com/en/dev/ref/csrf/#ajax
 
 
 

转载于:https://www.cnblogs.com/fengzaoye/p/5416424.html

weixin_30500105
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Boot项目CSRF (跨站请求伪造)攻击演示与防御
oscar999的专栏
07-17 1368
CSRF ,Cross-site request forgery,跨站请求伪造。是常见的网络攻击的方式之一,2007年曾被列为互联网20大安全隐患之一。攻击过程是攻击者伪造用户的浏览器请求,访问一个用户曾经访问过的网站, 使目标网站误以为是用户的操作而执行命令。 本篇j基于Spring Boot创建项目,用来演示CSRF 的攻击过程。...
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat 防止跨站请求伪造(CSRF)机制浅析 在 Web 应用开发中,跨站请求伪造(CSRF)是一种常见的安全威胁。跨站请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行...
dango框架搭建博客网站
weixin_30292843的博客
08-21 183
1.我早先下载了Anaconda35.0.1。但是Anaconda自带的编辑器Spyder我用的不太熟练。所以还是使用Pycharm来编辑代码。我的Pycharm试用期已经到了,所以需要注册码来使用Pycharm。 (1)先把Pycharm关闭。 (2)然后打开c:\windows\system32\drivers\etc文件夹中的host文件。 (3)将0.0.0.0 account.je...
CSRF 跨站请求伪造
m0_69043895的博客
04-19 1032
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比更具危险性。
跨站请求伪造
qq_52072846的博客
03-02 4045
使用dvwa靶场: 1.csrf_low CSRF简介 CSRF(Cross Site Request Forgery:跨站请求伪造),攻击者盗用合法的用户身份,以合法用户的名义去发出恶意请求,但这对服务器来说确识完全合法的,通过CSRF可以完成密码重置,管理员账户添加,转账等高位操作。 DVWA_CSRF_low延时)在输入框内输入password 使用bp拦截,并构造CSRF POC 构造出的HTML代码 可以将该HTML保存到本地,或者点击Tes...
(保姆级教学)跨站请求伪造漏洞
m0_63436163的博客
04-19 1380
跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件、发消息、甚至财产操作:转账、购买商品等)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份认证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
【CSRF-01】跨站请求伪造漏洞基础原理及攻防
m0_64378913的博客
07-01 1720
定义:CSRF(Cross-site request forgery,跨站请求伪造) 也被称为One Click Attack 或者 Session Riding ,通常缩写为 CSRF或者XSRF,是一种欺骗受害者提交恶意请求的攻击。它继承了受害者的身份和特权,代表受害者执行非本意、恶意的操作。它强制终端用户在当前对其进行身份验证后的Web应用程序上执行非本意的操作。发生地点:Web应用程序上,不是系统也不是组件。 发生时间:在终端用户在当前对其进行身份验证后。 发生形式:“强制”执行用户非本意的操作,此
跨站请求伪造(CSRF)
来日可期的博客
08-28 2037
跨站请求伪造是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。
CSRF跨站请求伪造漏洞修复方案
weixin_42728957的博客
04-16 6889
CSRF(全称Cross-site request forgery)即跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或包含攻击代码的页面,在受害者不知情的情况下以受害者的身份(身份认证所对应的信息)向服务器发送请求,从而完成非法操作(如转账、改密等)。由于发生CSRF攻击后,攻击者是强迫用户向服务器发送请求,所以会造成用户信息被迫修改,更严重者引发蠕...
跨站请求伪造(csrf)
weixin_45095113的博客
11-15 999
csrf
跨站脚本攻击和跨站请求伪造
林见鹿鸣
10-11 2860
XSS, 即为(Cross Site Scripting), 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的,当渲染 DOM 树的过程成发生了不在预期内执行的 JS 代码时, 这个不在预期的JS代码是攻击者将恶意代码植入到提供给其它用户使用的页面中 ,就发生了 XSS 攻击。 跨站脚本攻击有可能造成以下影响。 利用虚假输入表单骗取用户个人信息。 利用脚本窃取用户的 Cookie 值,被害者在不知情的情况下, 帮助攻击者发送恶意请求。 显示伪造的文章或图片。 反射性XSS 反射型XSS只是简单的把.
php中防止伪造跨站请求的小招式
10-28
在PHP开发中,防止伪造跨站请求(Cross-Site Request Forgery, CSRF)是一项至关重要的安全措施。CSRF攻击允许攻击者在用户浏览器上利用已登录用户的权限执行恶意操作,如发送垃圾邮件、删除数据等。为了抵御这种...
论文研究-跨站请求伪造(CSRF)攻击与防范技术研究 .pdf
08-23
跨站请求伪造(CSRF)攻击与防范技术研究,刘雅楠,马兆丰,跨站请求伪造(CSRF)攻击作为最严重的web漏洞威胁之一被列入了开放Web应用安全项目(OWASP)十大漏洞列表。该攻击具有很大隐蔽性和危
CSRF(跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
Django CSRF跨站请求伪造防护过程解析
09-18
CSRF(跨站请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网站发起对受害者的合法网站请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
ASP基于BS结构的学生在线选课系统的实现(源代码+论文).rar
08-10
资源包主要包含以下内容: ASP项目源码:每个资源包中都包含完整的ASP项目源码,这些源码采用了经典的ASP技术开发,结构清晰、注释详细,帮助用户轻松理解整个项目的逻辑和实现方式。通过这些源码,用户可以学习到ASP的基本语法、服务器端脚本编写方法、数据库操作、用户权限管理等关键技术。 数据库设计文件:为了方便用户更好地理解系统的后台逻辑,每个项目中都附带了完整的数据库设计文件。这些文件通常包括数据库结构图、数据表设计文档,以及示例数据SQL脚本。用户可以通过这些文件快速搭建项目所需的数据库环境,并了解各个数据表之间的关系和作用。 详细的开发文档:每个资源包都附有详细的开发文档,文档内容包括项目背景介绍、功能模块说明、系统流程图、用户界面设计以及关键代码解析等。这些文档为用户提供了深入的学习材料,使得即便是从零开始的开发者也能逐步掌握项目开发的全过程。 项目演示与使用指南:为帮助用户更好地理解和使用这些ASP项目,每个资源包中都包含项目的演示文件和使用指南。演示文件通常以视频或图文形式展示项目的主要功能和操作流程,使用指南则详细说明了如何配置开发环境、部署项目以及常见问题的解决方法。 毕业设计参考:对于正在准备毕业设计的学生来说,这些资源包是绝佳的参考材料。每个项目不仅功能完善、结构清晰,还符合常见的毕业设计要求和标准。通过这些项目,学生可以学习到如何从零开始构建一个完整的Web系统,并积累丰富的项目经验。
基于SSM的高校实验室预约管理系统的设计与实现源码
08-10
本系统结合当前实验室预约、使用和管理中存在的问题和现状进行分析,设计一套可以解决实验室使用冲突、预约流程简单的实验室预约管理系统,满足实验室的在线预约申请与审核的基本需求,可以方便对实验室和实验室设备进行信息化管理。本系统中的教师可以查看当前实验室以及设备的基本信息,在线进行实验室的预约。管理员可以对实验室和实验室的设备进行管理,以及实验室的预约申请进行审核。
毕业设计javajsp超市会员管理系统ssm源码含文档工具包
08-10
毕业设计javajsp超市会员管理系统ssm源码含文档工具包 后台是ssm框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 会员管理 公告育理 评论管理 前台 邮箱管理 积分管理 帮动 修改密码 退出系统 会员管理 公告管理 评论管理 工具管理 包含:源码、数据库脚本、论文、答辩ppt、开题报告、环境工具包、相同框架项目的安装教程(在说明文档中)
STM32F103C8T6 CAN通讯HAL库代码,采用中断接收,含Stm32CubeMX工程
最新发布
08-10
STM32F103C8T6 CAN通讯HAL库例程代码,采用中断接收,含Stm32CubeMX工程
CSRF跨站请求伪造漏洞
12-06
CSRF(Cross-site request forgery)跨站请求伪造是一种网络攻击方式,攻击者通过伪造用户请求来冒充用户身份,从而进行一些非法操作。攻击者通常会在第三方网站上设置陷阱,引诱用户点击链接或者访问页面,从而触发CSRF攻击。攻击者可以通过这种方式窃取用户的个人信息、账号密码等敏感信息,或者进行一些非法操作,比如在用户不知情的情况下转账、购买商品等。 CSRF攻击的过程一般包括以下几个步骤: 1. 攻击者在第三方网站上设置陷阱,比如在网页中插入一个图片或者链接。 2. 用户在浏览器中访问第三方网站,触发了陷阱,浏览器会自动向被攻击网站发送请求。 3. 被攻击网站接收到请求后,会认为这是用户的合法请求,从而执行相应的操作,比如转账、购买商品等。 防御CSRF攻击的方法包括: 1. 在表单中添加随机的token,防止攻击者伪造请求。 2. 检查Referer头部,确保请求来源于合法的网站。 3. 在cookie中添加SameSite属性,限制cookie只能在同站点请求中发送,从而防止跨站请求伪造攻击。 --相关问题--: 1. 什么是XSS漏洞? 2. 如何防御XSS攻击? 3
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值