跨站请求伪造(csrf)中间件整理

最新推荐文章于 2023-03-26 22:56:07 发布
最新推荐文章于 2023-03-26 22:56:07 发布
阅读量73 收藏
点赞数
原文链接:http://www.cnblogs.com/quzq/p/9904929.html
版权

一. CSRF中间件  

  字面意思跨站请求伪造; 即模仿个请求朝服务器发送,django中对跨站伪造的请求有相应的校验

     from django.views.decorators.csrf import csrf_exempt, csrf_protect

    csrf_exempt  给单个视图排除校验,以装饰器形式给某个视图加上,则该视图就不会进行校验

                局部禁用的前提是全局有校验

    csrf_protect  给单个视图必须校验,以装饰器形式给某个视图加上,则该视图就必须进行校验

                即使注释调settings中的46行也必须得校验.  局部使用的前提是全局没有校验

二. csrt源码解析其校验的本质大概流程是:

  1. process_request,从请求的cookie中获取csrftoken的值,保存为scrf_token

  2. process_view:

     > 如果视图函数加上了csrf_exempt的装饰器  不做校验

     > 如果请求方式是'GET', 'HEAD', 'OPTIONS', 'TRACE' 也不做校验

     > 其它的请求方式就要进行校验了,校验的实质如下:

       1.request.POST中获取csrfmiddlewaretoken对象的值

       2.从请求头中获取csrfmiddlewaretoken对象的值

       3.用获取到的csrfmiddlewaretoken的值和csrftoken的值做比较,如果校验成功,流程继续;校验不成功

          则拒绝;  12中只要有1个能获取到csrfmiddlewaretoken的值即可,不用两个中都有.

总结: 两点要求,1.浏览器必须带有cookie;  2. post请求体中或请求头中要能获取到csrfmiddlewaretoken

 

三.针对以上总结的两点,做相应的处理,处理办法如下

     确保浏览器带有cookie的两种方式:

          > form表单内加入{% csrf_token %}

          > 不使用{% csrf_token %},导入from django.views.decorators.csrf import ensure_csrf_cookie

             ensure_csrf_cookie以装饰器形式加在视图上,保证返回的相应有cookie

      确保能从post请求体中或请求头信息中获取到csrfmiddlewaretokende的方式:

        > 页面中加入{% csrf_token %}标签

         1.获取标签值,加入post请求体中,  csrfmiddlewaretoken: $('[name="csrfmiddlewaretoken"]').val()

         2.获取标签值,加入post请求头中,  headers: {"X-CSRFToken": $('[name="csrfmiddlewaretoken"]').val()}

        > 上面12都是给单个的ajax请求加csrfmiddlewaretokende,这里再介绍个通过引入js文件形式

          给全局所有ajax头部加入csrfmiddlewaretokende的办法,代码思路如下: (万能办法)

         1.通过django官网提供的代码来实现,首先项目下static文件夹内新建js文件,复制以下代码:

         2.script标签在html页面导入新建的这个a.js文件, <script src=’/static/a.js’></script>

           它的作用是给每个请求头信息上加crsfmiddlewaretoken信息

     猜测: 引入js文件形式可同时让浏览器带cookie和让请求头带crsfmiddlewaretoken信息,因为使用

           CBVajax文件上传时,html中没加{%csrf_token%},views中也没用ensure_csrf_token装饰器

 

四. js文件代码如下:

function getCookie(name) {

    var cookieValue = null;

    if (document.cookie && document.cookie !== '') {

        var cookies = document.cookie.split(';');

        for (var i = 0; i < cookies.length; i++) {

            var cookie = jQuery.trim(cookies[i]);

            // Does this cookie string begin with the name we want?

            if (cookie.substring(0, name.length + 1) === (name + '=')) {

                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));

                break;

            }

        }

    }

    return cookieValue;

}

var csrftoken = getCookie('csrftoken');

 

function csrfSafeMethod(method) {

  // these HTTP methods do not require CSRF protection

  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));

}

 

$.ajaxSetup({

  beforeSend: function (xhr, settings) {

    if (!csrfSafeMethod(settings.type) && !this.crossDomain) {

      xhr.setRequestHeader("X-CSRFToken", csrftoken);

    }

  }

});

转载于:https://www.cnblogs.com/quzq/p/9904929.html

weixin_30657999
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Laravel框架之CSRF跨站请求伪造
珞羽飘凌个人博客
01-13 350
一、CSRF攻击 1、什么是CSRF攻击 CSRF跨站请求伪造(Cross-site request forgery)的英文缩写, 原理图示: csrf在laravel框架中的使用,就是在客户端form表单中设置一个_token表单域 同时把该表单域的值记录给session,提交表单给服务器后,服务器判断form表单中的_token与session中的_token是否一致,一致就进行正常的后续...
Django CSRF跨站请求伪造防护过程解析
09-18
CSRF跨站请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网站发起对受害者的合法网站的请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
Django中如何防范CSRF跨站请求伪造攻击
python零基础入门
11-03 159
CSRF概念 CSRF跨站请求伪造(Cross—Site Request Forgery)。 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。CSRF攻击原理以及过程 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;...
CSRF(跨站请求伪造)
alenzzzhang
09-27 188
Csrf CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本XSS,但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大...
Django中间件csrf跨站请求伪造
weixin_46407419的博客
03-10 285
csrf跨站请求伪造 CSRF(Cross Site Request Forgery) 跨站请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。如果从名字你还不不知道它表示什么,你可以这样理解:攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私...
CSRF(Cross-site request forgery)跨站请求伪造
weixin_59496235的博客
03-26 975
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie 来通过安全验证。我们通常是给受害者发送一个链接,而在正常的情况下人们通常不会点击一个很长的、看起来就不正常的链接,这个就需要利用到社会工程学,学会利用人们的心理来达到我们的目的,诱使他们点击我们构造的链接,这种情况下我们需要把长的链接转化成一个短的链接,而网上正好可以找到很多这种在线的工具。
跨站请求伪造保护 CSRF
weixin_30907523的博客
07-25 249
1.跨站请求伪造攻击   某些恶意网站上包含链接、表单按钮或者JavaScript,它们会利用登录过的用户在浏览器中的认证信息试图在你的网站上完成某些操作,这就是跨站请求伪造。 2.CSRF Cross-Site Request Forgey 跨 站点 请求 伪装 3.说明:CSRF中间件和模板标签提供对跨站请求伪造简单易用的防护。 4.作用:不让其...
中间件CSRF跨站请求伪造
Shawn派大星
04-21 289
引入 1.什么是中间件 中间件是一个很大的概念, 它介于两个事务之间 服务器中间件:服务器的调优,例:Java的Tomcat 消息队列中间件:消息队列,在应用程序与应用程序之间, 数据库中间件:应用程序与数据库之间 一.Django中间件 (middleware) 1.什么Django中间件 请求来的时候需要先经过中间件才能到真正的Django后端 响应走的时候也需要经过中间件才能发送出去 通俗的讲 : 中间件相当于是Django的门户, 你进来时要经过它, 出去的时候也要经过它 介于request与
csrf跨站请求伪造
wmyzzz
10-27 83
全称Cross Site Request Forgery,跨站请求伪造 某些恶意网站上包含链接、表单按钮或者JavaScript,它们会利用登录过的用户在浏览器中的认证信息试图在你的网站上完成某些操作,这就是跨站攻击 防csrf的使用 在django的模板中,提供了防止跨站攻击的方法,使用步骤如下: step1:在settings.py中启用’django.middleware.csrf.CsrfViewMiddleware’中间件,此项在创建项目时,默认被启用 step2:在csrf1.html中添.
CSRF01】跨站请求伪造——漏洞基础原理及攻防
Fighting_hawk的博客
03-14 4618
1. 理解CSRF的攻击原理; 2. 重点掌握CSRF的三种攻击方式; 3. 了解CSRF的危害; 4. 重点掌握CSRF的防御手段。
gorilla / csrf为Go Web应用程序和服务提供跨站请求伪造CSRF)预防中间件:locked:-Golang开发
05-26
gorilla / csrf gorilla / csrf是一个HTTP中间件库,它提供跨站请求伪造CSRF)保护。 它包括:csrf.Protect中间件/处理程序在连接到路由器大猩猩/ csrf的路由上提供CSRF保护。gorilla / csrf是一个HTTP中间件库...
csrf:gorillacsrf为Go Web应用程序和服务提供跨站请求伪造CSRF)预防中间件:locked:
02-06
这包括: csrf.Protect中间件/处理程序在连接到路由器或子路由器的路由上提供CSRF保护。 一个csrf.Token函数,该函数提供传递到您的响应中的令牌,无论该令牌是HTML表单还是JSON响应正文。 ...和一个csrf....
csrf:Go的CSRF中间件
05-17
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全威胁,攻击者通过诱导用户在不知情的情况下执行非预期的操作,比如在未经授权的情况下更改其账户设置或者进行恶意转账。Go语言作为现代、高效...
nosurf:Go的CSRF保护中间件
02-03
Nosurf nosurf是用于Go的HTTP软件包,可帮助您防止跨站请求伪造攻击。 它的作用类似于中间件,因此基本上可以与任何Go HTTP应用程序兼容。为什么? 尽管CSRF是一个突出的漏洞,但Go的与Web相关的软件包基础结构...
matlab下载.pdf
07-14
matlab下载下载方式及注意事项
Android系统原理及开发要点详解-从入门到精通
07-13
Android系统原理及开发要点详解 Java4 Android视频教程 Android开发视频教学 从入门到精通 Android的软件管理器的开发教程视频 Android深入浅出_Android高端课程分享试听 JavaWeb Android系统的手机防盗软件的实现 Android开发入门与实战随书视频 视频列表.txt 0.0MB 开发入门与实战代码.rar 6.1MB 第9章 我来“广播”你的“意图”——Intent和Broadcast面对面.wmv 15.1MB 第8章 移动信息仓库——Android的数据存储操作之轻轻地我保护——SharedPreferences存储-2.wmv 0.6MB 第8章 移动信息仓库——Android的数据存储操作之轻轻地我保护——SharedPreferences存储-1.wmv 24.3MB 第8章 移动信息仓库——Android的数据存储操作之Android数据存储概述.wmv 57.7MB 第7章 良好的学习开端——Android基本组件介绍之友好地互动交流——对话框(Dialog)介绍与实例-2.wmv 7.
GESP等级认证 2024年6月 C++一级真题
最新发布
07-14
GESP等级认证 2024年6月 C++一级真题 从官网上刚刚下载下来的,题都是热乎的,这可是最新真题 大家看一看瞧一瞧,走过路过不要错过,免费下载,全篇无水印,不好用随便吐槽我! 涵盖选择题,判断题,编程题,基础知识多,满满的干货,非常建议下载!!!!! 萌新小白来做做题,复习巩固都很合适!
大学生创业计划书(35)三份资料.doc
07-14
大学生创业计划书(35)三份资料.doc
django中csrf的实现机制
06-10
Django中的CSRF(Cross-Site Request Forgery)机制可以防止跨站请求伪造攻击。Django的CSRF机制的实现基于以下两个元素: 1. CSRF令牌:每个表单都会包含一个隐藏的CSRF令牌,这个令牌是服务器随机生成的,并且...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值