无csrf防护的html页面,CSRF防护 Step by Step(亲测版)

最新推荐文章于 2024-05-04 08:00:00 发布
最新推荐文章于 2024-05-04 08:00:00 发布
阅读量461 收藏
点赞数
文章标签: 无csrf防护的html页面

阅读:

2,619

CSRF(Cross-site request forgecy):跨站请求伪造,是一种常见的网络攻击方式。究竟什么是CSRF以及如何防御呢?

CSRF原理

CSRF攻击流程如下图所示:

ac3c6f93e3ad5a2882cf944b6aadcf8e.png

简而言之,就是攻击者盗用了你的合法身份,并以你的名义发送恶意请求,比如:以你的名义发送邮件和消息,用你的钱买东西,把你的钱从账户转出……后果不堪设想。

CRRF防御

CSRF的防御方式大概有如下几种:

通过 referer、token 或者 验证码 来检测用户提交。

尽量不要在页面的链接中暴露用户隐私信息。

对于用户修改删除等操作最好都使用post 操作 。

避免全站通用的cookie,严格设置cookie的域。

Django的解决之道

Django使用中间件(CsrfMiddleware)来进行CSRF防护。具体的原理如下:

⑴修改当前处理的请求,向所有的 POST 表单增加一个隐藏的表单字段,名称是 csrfmiddlewaretoken,值为当前会话 ID 加上一个密钥的散列值。如果未设置会话 ID,该中间件将不会修改响应结果,因此对于未使用会话的请求来说性能损失是可以忽略的。

⑵对于所有含会话cookie集合的POST请求,它将检查是否存在csrfmiddlewaretoken及其是否正确。如果不正确,用户将会收到一个403HTTP 错误。403错误页面的内容是检测到了跨域请求伪装,终止请求。

另外要说明的是,为了避免转换非 HTML 请求,中间件在编辑响应结果之前对它的 Content-Type 头标进行检查。只有标记为 text/html 或 application/xml+xhtml 的页面才会被修改。

接下来介绍具体使用方法。

POST提交form表单

1. 添加中间件

在settings.py MIDDLEWARE_CLASSES中把‘django.middleware.csrf.CsrfViewMiddleware’ 中间件加上,加上后即可全局使用csrf防护(默认已经添加);

也可以在视图函数上加 @csrf_protect 进行单view控制,不过这不是推荐的方法,因为这样可能会有遗漏。

0749329735f185d45bd5bb8f5ff380a6.png

注:该中间件必须在 SessionMiddleware 之后执行,因此在列表中 CsrfMiddleware 必须出现在SessionMiddleware 之后。 同时,它也必须在响应被压缩或解压之前对响应结果进行处理,因此CsrfMiddleware必须在GZipMiddleware之后执行。

2. 模版设置

❶ 在POST提交的表单中加上{% csrf_token %}

92df95c9288b150423274c67ebf3eab7.png

❷ 或者和表单的格式保持一致

a015ac1d8ac5e324b0d28aa1c9ec7aa7.png

3. 视图函数设置

常用的有3种方法:

❶ 手动生成csrftoken并加到template context:

02a05f68d3e58750820cd3201195bbac.png

❷ 使用 render_to_response 和 RequestContext

024ed90927db85ec505f34f25c54cffa.png

❸ 直接使用render

ddf3173cd460452424df47942aab0735.png

如果不需要校验cookie中的csrf值

2a8fe1797ca7e2ae1de7960f775cb795.png

3f95882688b5033f507a6fbdb1490899.png

Ajax提交POST请求

1. settings设置同上

2. 模板设置

有2种方法:

❶ 在html模板script标签中加(注:必须在模板中设置)

f11249dfcb955d53d3dfbe0b42158ef9.png

529f6b2c8eda6e07f13110f3d648a945.png

❷ 设置请求头

ae02d94c33a87934b504b07a5e40f949.png

第一种更简单。

3. 视图函数设置同上

与jinja2结合

1. settings及视图函数设置同上

2. 模板设置

Jinja不能识别 {% csrf_token %},如下设置

b8940a8d2e3ae2fc79943c8d411ef82d.png

或者

8f016d273b0be5413e816f2ca84864d7.png

3. 视图设置同上

大家快动手试一试吧!

如果您需要了解更多内容,可以

加入QQ群:570982169

直接询问:010-68438880

睡棉絮的人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
html表单没有csrf保护,如何在Symfony 1.4中为表单禁用CSRF保护/验证
weixin_36415206的博客
06-19 454
csrf令牌可为你的表单提供保护, 使其免受跨站请求伪造(CSRF)的攻击, 该攻击迫使最终用户在当前已通过身份验证的Web应用程序上执行不需要的操作。在某些项目中, 由于缺少在视图中定义同一实体的多种形式的symfony, 你最终将使用HTML手动设计表单(这意味着视图上未呈现任何sfForm实例, 并且没有CSRF保护已启用), 但是使用symfony的默认绑定器存储来自数组的信息, 例如:/...
html表单没的csrf保护,表单与csrf保护
weixin_30047651的博客
06-19 875
## 表单提交和CSRF在本课程中,我们将介绍将表单数据提交到服务器的基本工作流程。在此过程中,我们将介绍一个新概念:`CSRF`(跨站点请求伪造)。### 新手建议前面几节我们介绍了如何从数据库中获取数据,使用 `Tinker` 添加测试数据。接下来我们在页面中实现添加数据并展示。> 不论做任何复杂的功能,都是从简单开始,慢慢迭代,这里给新手一个建议,不论做什么都先按照 `路由->控...
csrf防护html页面,CSRF是什么?CSRF的危害以及御方法
weixin_39964590的博客
06-04 406
本篇文章给大家带来的内容是关于CSRF是什么?CSRF的危害以及御方法,有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。什么是 CSRF在了解 CSRF 之前我们需要科普两个前提。首先是登录权限验证的方式有很多种,目前绝大多数网站采用的还是session 会话任务的方式。session 机制简单的来说就是服务端使用一个键值对记录登录信息,同时在 cookie 中将 sessioni...
html表单csrf攻击的解决方案
sunchanglan151的博客
06-29 1227
web 扫描漏洞:HTML form without CSRF protection 问题解决
最新发布
dazhong2012的专栏
05-04 505
一.扫描工具:acunetix 二.问题描述 该漏洞主要是利用用户登录网站中的session 或 cookie 信息,采用诱导链接,获取用户浏览器中的相关session 或 cookie ,发送恶意请求或重复攻击; 三.解决方法 1.在提交浏览器表单信息时,增加 token 或 随机数 参数,并将 参数 写入到 session 信息;后台校验时,通过 对比 表单参数和 session 中的参数的一致性,判断表单提交是否是来源于页面的正常请求。 jsp 页面代码如下: <%@ page language
最近WEB安全扫描问题汇总
热门推荐
ivan0609的专栏
06-15 1万+
严重问题: 1、Tomcat本过低 Tomcat5~8各个本尽量使用最新的本,新已经修复了已经发现的漏洞。 2、SQL盲注 对于用户输入的参数进行过滤。 3、jQuery跨站脚本 升级jQuery,更换为最新的jQuery
html form without csrf protection,尽管在表单中发送CSRF令牌,但不支持Spring Security CSRF 405方法POST...
weixin_35123047的博客
06-18 746
我使用的是Spring框架本4.3.5.RELEASE . Spring安全是4.2.2.RELEASE .我正面临一个与CSRF有关的奇怪问题 . 每当我提交一个表单(来自JSP文件), Sometimes it works fine, the form gets submitted without error but sometimes after submitting the form...
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
春Security是当前最流行的Java Web应用程序安全框架之一,它提供了强大的安全功能,包括身份验证、授权、CSRF防护等。CSRF(Cross-site request forgery)是一种常见的Web攻击方式,攻击者可以欺骗用户在未经授权的...
tele-step-handle
03-21
"tele-step-handle"可能是某个特定项目或者库的名称,但根据提供的信息,我们无法直接得知其具体含义或功能。然而,我们可以从PHP的角度出发,探讨一些与Web开发相关的通用知识点。 1. **PHP基础**:PHP(Hypertext...
ASP .NET 3.5 STEP BY STEP(源代码)
06-02
这本书"ASP .NET 3.5 STEP BY STEP"提供了详细的教程,帮助开发者学习如何有效地利用该技术来创建动态、交互式的网页。源代码的提供使读者能够深入理解每一章所讲解的概念,并通过实际操作来巩固理论知识。 首先,...
webforms.rar_WEB开发_Others_
08-11
- CSRF(跨站请求伪造)防护是Web表单安全的重要一环,通过使用令牌来止恶意提交。 5. **前端框架与库**: - 虽然HTML5提供了很多内置功能,但现代Web开发常使用jQuery、Vue.js、React或Angular等框架来增强...
CSRF漏洞详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。通常情况下,有三种方法被广泛用来CSRF攻击:验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header。鉴于种种原因,这三种方法都不是那么完美,各有利弊。在跨站请求伪造(CSRF攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网站会话的完整性。而浏览器的安全策略是允许当前页面
csrf漏洞例子(html、css、JavaScript、php)
04-26
demo例子操作步骤 1、登录获取身份认证(这里用到session) 2、登录后点击跳转进入有漏洞的网站(这里模拟的是黑客发给受害者的地址) 3、点击跳转后是一个图片 注解:其中src的地址money.php是网站的转账接口 其中name是转给谁,money是转多少钱 一旦目标登录了网站访问了这个网页,就会利用session给jake转账100元 可以在目录下查看journal.txt查看转账日志//每刷新一次页面就会转一次账
EasyCSRF:一个简单的独立CSRF保护库
05-22
EasyCSRF EasyCSRF是一个用PHP编写的简单,独立的CSRF保护库。 它可用于保护您的表单免受攻击。 要求 PHP 7.3以上 安装 通过安装: composer require gilbitron/easycsrf 运行composer install然后照常使用: require 'vendor/autoload.php' ; $ sessionProvider = new EasyCSRF \ NativeSessionProvider (); $ easyCSRF = new EasyCSRF \ EasyCSRF ( $ sessionProvider ); 用法 要首先使用EasyCSRF,您需要生成一个令牌: $ sessionProvider = new EasyCSRF \ NativeSessionProvider (); $ easyCSR
shop:使用Ruby On Rails购买回购
03-29
在Rails中,可以使用`step_by_step`库或者自定义状态机来管理这个流程。每个步骤对应一个控制器的action,用户在每个阶段的数据保存到session或数据库中,直到最后生成订单。 5. **支付集成**: 结算过程中往往...
随便贴两个漏洞,如 Apache JServ协议服务
weixin_30493401的博客
07-31 1097
1、Apache JServ协议服务 描述:Apache JServ协议(AJP)是一种二进制协议,可以将来自Web服务器的入站请求代理到 位于Web服务器后面的应用程序服务器。不建议在互联网上公开使用AJP服务。 如果AJP配置错误,可能会允许攻击者访问内部资源。 我的修复建议:{tocamat目录}/conf/server.xml中将下面的配置给注释掉: 2、没有CSR...
asp html表单没有csrf保护,Web API CSRF保护实现
weixin_36292971的博客
06-28 305
这次自己实现了类似jQuery中ajax调用的方法,并且针对RESTFul进行了改造和集成,实现的A2D AJAX接口如下:$.ajax.RESTFulGetCollection("/api/Users", function (data) { alert(data[5].FirstName); });$.ajax.RESTFulGetOne("/api/Users/1", function (da...
asp html表单没有csrf保护,CSRF在ASP.NET Core中的处理方法详解
weixin_39857792的博客
06-28 440
前言前几天,有个朋友问我关于AntiForgeryToken问题,由于对这一块的理解也并不深入,所以就去研究了一番,梳理了一下。在梳理之前,还需要简单了解一下背景知识。AntiForgeryToken 可以说是处理/预CSRF的一种处理方案。那么什么是CSRF呢?CSRF(Cross-site request forgery)是跨站请求伪造,也被称为One Click Attack或者Sessi...
xsrf form html,asp.net mvc - HTML form without CSRF protection alert (Acunetix) - Stack Overflow
weixin_32175665的博客
06-10 221
I use in my form @Html.AntiForgeryToken() and in action I use [ValidateAntiForgeryToken] attribute but when test my site by Acunetix get this error :HTML form without CSRF protectionhtml :جستجوی خود...
springboot csrf防护 spring security
10-31
Spring Security提供了一种用于CSRF防护的机制,可以保护Web应用免受此类攻击。Spring Security通过生成和验证令牌来完成CSRF防护。 在Spring Security中,可以使用`<csrf/>`标签来启用CSRF保护。此标签将自动在每...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值