跨站请求伪造CSRF以及Flask中的解决办法

最新推荐文章于 2021-07-26 15:57:55 发布
最新推荐文章于 2021-07-26 15:57:55 发布
阅读量192 收藏
点赞数 1
文章标签: python 后端 前端 ViewUI
原文链接:http://www.cnblogs.com/yinjiangchong/p/9260407.html
版权

CSRF

  • CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。
  • CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。
    • 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......
  • 造成的问题:个人隐私泄露以及财产安全。

CSRF攻击示意图

  • 客户端访问服务器时没有同服务器做安全验证

防止 CSRF 攻击

步骤

  1. 在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值
  2. 在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token
  3. 在用户点击提交的时候,会带上这两个值向后台发起请求
  4. 后端接受到请求,以会以下几件事件:
    • 从 cookie中取出 csrf_token
    • 从 表单数据中取出来隐藏的 csrf_token 的值
    • 进行对比
  5. 如果比较之后两值一样,那么代表是正常的请求,如果没取到或者比较不一样,代表不是正常的请求,不执行下一步操作

代码演示

未进行 csrf 校验的 WebA
  • 后端代码实现

from flask import Flask, render_template, make_response
from flask import redirect
from flask import request from flask import url_for app = Flask(__name__) @app.route('/', methods=["POST", "GET"]) def index(): if request.method == "POST": # 取到表单中提交上来的参数 username = request.form.get("username") password = request.form.get("password") if not all([username, password]): print('参数错误') else: print(username, password) if username == 'laowang' and password == '1234': # 状态保持,设置用户名到cookie中表示登录成功 response = redirect(url_for('transfer')) response.set_cookie('username', username) return response else: print('密码错误') return render_template('temp_login.html') @app.route('/transfer', methods=["POST", "GET"]) def transfer(): # 从cookie中取到用户名 username = request.cookies.get('username', None) # 如果没有取到,代表没有登录 if not username: return redirect(url_for('index')) if request.method == "POST": to_account = request.form.get("to_account") money = request.form.get("money") print('假装执行转操作,将当前登录用户的钱转账到指定账户') return '转账 %s 元到 %s 成功' % (money, to_account) # 渲染转换页面 response = make_response(render_template('temp_transfer.html')) return response if __name__ == '__main__': app.run(debug=True, port=9000)
  • 前端登录页面代码
<!DOCTYPE html>
<html lang="en"> <head> <meta charset="UTF-8"> <title>登录</title> </head> <body> <h1>我是网站A,登录页面</h1> <form method="post"> <label>用户名:</label><input type="text" name="username" placeholder="请输入用户名"><br/> <label>密码:</label><input type="password" name="password" placeholder="请输入密码"><br/> <input type="submit" value="登录"> </form> </body> </html>
  • 前端转账页面代码
<!DOCTYPE html>
<html lang="en"> <head> <meta charset="UTF-8"> <title>转账</title> </head> <body> <h1>我是网站A,转账页面</h1> <form method="post"> <label>账户:</label><input type="text" name="to_account" placeholder="请输入要转账的账户"><br/> <label>金额:</label><input type="number" name="money" placeholder="请输入转账金额"><br/> <input type="submit" value="转账"> </form> </body> </html>

运行测试,如果在未登录的情况下,不能直接进入转账页面,测试转账是成功的

攻击网站B的代码
  • 后端代码实现
from flask import Flask
from flask import render_template

app = Flask(__name__)

@app.route('/')
def index():
    return render_template('temp_index.html')

if __name__ == '__main__':
    app.run(debug=True, port=8000)
  • 前端代码实现
<!DOCTYPE html>
<html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <h1>我是网站B</h1> <form method="post" action="http://127.0.0.1:9000/transfer"> <input type="hidden" name="to_account" value="999999"> <input type="hidden" name="money" value="190000" hidden> <input type="submit" value="点击领取优惠券"> </form> </body> </html>

运行测试,在用户登录网站A的情况下,点击网站B的按钮,可以实现伪造访问

在网站A中模拟实现 csrf_token 校验的流程
  • 添加生成 csrf_token 的函数
# 生成 csrf_token 函数
def generate_csrf(): return bytes.decode(base64.b64encode(os.urandom(48)))
  • 在渲染转账页面的,做以下几件事情:
    • 生成 csrf_token 的值
    • 在返回转账页面的响应里面设置 csrf_token 到 cookie 中
    • 将 csrf_token 保存到表单的隐藏字段中
@app.route('/transfer', methods=["POST", "GET"])
def transfer(): ... # 生成 csrf_token 的值 csrf_token = generate_csrf() # 渲染转换页面,传入 csrf_token 到模板中 response = make_response(render_template('temp_transfer.html', csrf_token=csrf_token)) # 设置csrf_token到cookie中,用于提交校验 response.set_cookie('csrf_token', csrf_token) return response
  • 在转账模板表单中添加 csrf_token 隐藏字段
<form method="post">
    <input type="hidden" name="csrf_token" value="{{ csrf_token }}"> <label>账户:</label><input type="text" name="to_account" placeholder="请输入要转账的账户"><br/> <label>金额:</label><input type="number" name="money" placeholder="请输入转账金额"><br/> <input type="submit" value="转账"> </form>


  • 在执行转账逻辑之前进行 csrf_token 的校验
if request.method == "POST":
    to_account = request.form.get("to_account")
    money = request.form.get("money")
    # 取出表单中的 csrf_token form_csrf_token = request.form.get("csrf_token") # 取出 cookie 中的 csrf_token cookie_csrf_token = request.cookies.get("csrf_token") # 进行对比 if cookie_csrf_token != form_csrf_token: return 'token校验失败,可能是非法操作' print('假装执行转操作,将当前登录用户的钱转账到指定账户') return '转账 %s 元到 %s 成功' % (money, to_account)

运行测试,用户直接在网站 A 操作没有问题,再去网站B进行操作,发现转账不成功,因为网站 B 获取不到表单中的 csrf_token 的隐藏字段,而且浏览器有同源策略,网站B是获取不到网站A的 cookie 的,所以就解决了跨站请求伪造的问题

在 Flask 项目中解决 CSRF 攻击

在 Flask 中, Flask-wtf 扩展有一套完善的 csrf 防护体系,对于我们开发者来说,使用起来非常简单

在 FlaskForm 中实现校验

  • 设置应用程序的 secret_key
    • 用于加密生成的 csrf_token 的值
app.secret_key = "#此处可以写随机字符串#"
  • 在模板的表单中添加以下代码
<form method="post">
    {{ form.csrf_token() }}
    {{ form.username.label }} {{ form.username }}<br/> {{ form.password.label }} {{ form.password }}<br/> {{ form.password2.label }} {{ form.password2 }}<br/> {{ form.submit }} </form>
  • 渲染出来的前端页面为:

设置完毕,cookie 中的 csrf_token 不需要我们关心,会自动帮我们设置

单独使用

  • 设置应用程序的 secret_key
    • 用于加密生成的 csrf_token 的值
app.secret_key = "#此处可以写随机字符串#"
  • 导入 flask_wtf.csrf 中的 CSRFProtect 类,进行初始化,并在初始化的时候关联 app
from flask.ext.wtf import CSRFProtect
CSRFProtect(app)
  • 如果模板中有表单,不需要做任何事。与之前一样:
<form method="post">
    {{ form.csrf_token }}
    ...
</form>
  • 但如果模板中没有表单,你仍需要 CSRF 令牌:

<form method="post" action="/"> <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" /> </form>

转载于:https://www.cnblogs.com/yinjiangchong/p/9260407.html

weixin_30535043
关注
CSRF跨站请求伪造
m0_73170217的博客
02-02 552
csrf漏洞的产生原理及危害、利用方法和防御手段
flask基础十五之CSRF跨站请求伪造
feilzhang的博客
07-14 1167
CSRFCSRF全拼为Cross Site Request Forgery,译为跨站请求伪造CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题:个人隐私泄露以及财产安全。CSRF攻击示意图客户端访问服务器时没有同服务器做安全验证防止 CSRF 攻击步骤在客户端向后端请求界面数据的时候,后端会往响...
flask-xsrf:烧瓶扩展,用于防御跨站请求伪造攻击(XSRFCSRF
05-18
烧瓶-xsrf 扩展,通过为每个请求使用唯一生成的令牌来保护flask请求端点,从而防御跨站请求伪造攻击 。 烧瓶 PYTHON X射线荧光光谱仪 建立状态 分支 服务 地位 服务 标题 地位 master ci-build github tags develop ci-build github releases-all master coveralls.io github releases-latest develop coveralls.io pypi releases-latest master landscape.io pypi downloads develop landscape.io pypi dl-month 参考/链接 pypi:包 阅读文档:docs github:维基 github:源 github:发布 更
学习FlaskCSRF
吴家健ken的博客
07-26 902
什么是CSRF,不多解释,简单点说,就是防止网站的form 被跨域重复提交。 要使用CSRF,可以利用flask_wtf 自带的CSRF,这样就要结合flask_wtf 的Form 表单一起实现了。 继续从这个项目说起 首先,都是需要卸载flask_wtf $ pip install Flask-WTF 在extendsions.py 引用 from flask_wtf import CSRFProtect ...... csrf = CSRFProtect() 在__init__.py 初始化
Flask-WTF的CSRF保护详解
qq769747518的博客
08-11 3484
CSRF 保护 这部分文档介绍了 CSRF 保护。 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为...
FlaskCSRF保护
宇宙有只 AGI 的博客
12-06 273
一、全局CSRF保护 from flask_wtf import CSRFProtect CSRFProtect(app) 二、蓝图CSRF保护过滤 from flask_wtf import CSRFProtect ...
Flask实现CSRF保护
热门推荐
rongDang的博客
07-17 1万+
  参考官方文档  CSRF跨站请求伪造,源于WEB的隐式身份验证机制,WEB的身份验证机制虽然可以抱着一个请求时来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。  例如,用户登录受信任的网址A,在本地生成了Cookie,在Cookie没有失效的情况下去访问了危险网站B,B可能会盗用你的身份,以你的名义去发送恶意请求,邮件,盗取你的账号,设置购买商品,造成你个人隐私泄露,已经财产安...
csrf跨站请求伪造简单示例
10-18
一个简单的csrf跨站请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
ASP.NET 跨站脚本(XSS)与跨站请求伪造CSRF)防范
# 1....在本章,我们将介绍ASP.NET常见漏洞的防范措施以及漏洞的常见原因,以及详细介绍跨站脚本和跨站请求伪造攻击的实例。 ### 3. 跨站脚本攻击防范 跨站脚本攻击(Cross-Site Scripting,XSS
跨站请求伪造CSRF)攻击的防范与检测
了解跨站请求伪造CSRF)攻击 ## 1.1 什么是跨站请求伪造CSRF)攻击 跨站请求伪造(Cross-Site Request Forgery,CSRF),又称为XSRF,是一种利用用户在当前已经登录的Web应用程序上执行非预期操作的攻击方式...
跨站请求伪造-CSRF防护方法
03-12
跨站请求伪造-CSRF防护方法跨站请求伪造-CSRF防护方法
Flask框架 CSRF 保护实现方法详解
09-18
主要介绍了Flask框架 CSRF 保护实现方法,结合实例形式详细分析了Flask-WTF针对CSRF攻击的防护相关操作技巧,需要的朋友可以参考下
做一个网站多少钱?
java面试笔试
10-20 368
Java面试笔试面经、Java技术每天学习一点Java面试关注不迷路作者:kimix 的博客来源:kimix.name/做一個網站多少錢?/「一辆车子多少钱?一个房子多少钱?」这问题在工...
Flask CSRF 保护
咸鱼!!!
07-07 577
Flask CSRF 保护为什么需要 CSRF?实现 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为了能够让所...
Flask从入门到精通之跨站请求伪造保护
weixin_30639719的博客
01-29 116
  默认情况下,Flask-WTF 能保护所有表单免受跨站请求伪造(Cross-Site Request Forgery,CSRF)的攻击。恶意网站把请求发送到被攻击者已登录的其他网站时就会引发CSRF 攻击。   为了实现CSRF 保护,Flask-WTF 需要程序设置一个密钥。Flask-WTF 使用这个密钥生成加密令牌,再用令牌验证请求表单数据的真伪。设置密钥的方法如下所示: ap...
Flask-WTF 之防止CSRF***学习记录
weixin_33910137的博客
12-22 306
CSRF 保护这部分文档介绍了 CSRF 保护。为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。实现为了...
Flask框架——CSRF保护
HMMHMH的博客
10-12 597
目录CSRF攻击如何防御CSRF攻击Flask框架CSRF保护机制 CSRF攻击 CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账… 造成的问题:个人隐私泄露以及财产安全。 攻击示意图: 如何防御CSRF攻击 在客户端...
flask使用CSRFProtect
python_tty的专栏
03-29 2803
csrf跨站请求伪造攻击,它的原理是诱导用户浏览器访问已经认证过的网站,从而实现自己的攻击目的,危害性很大,所以我们在网站开发过程要加入csrf保护。现在的web框架都提供了相应的csrf protect方法。 falskcsrf protect使用: from flask_wtf.csrf import CSRFProtect csrf = CSRFProtect(app) ...
flask csrf 保护
yournevermore的博客
12-28 155
csrf攻击 通过浏览器缓存信息发送恶意请求 . https://blog.csdn.net/baidu_35085676/article/details/78254954 https://www.jianshu.com/p/75670e6f0e2a
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值