伪造ajax请求,ajax向Django前后端提交请求和CSRF跨站请求伪造

最新推荐文章于 2022-08-09 09:44:48 发布
最新推荐文章于 2022-08-09 09:44:48 发布
阅读量132 收藏
点赞数
文章标签: 伪造ajax请求

1.ajax登录示例

urls.py

from django.conf.urls importurlfrom django.contrib importadminfrom app01 importviews

urlpatterns=[

url(r'^admin/', admin.site.urls),

url(r'^login_ajax/$', views.login_ajax, name='login_ajax'),

url(r'^index/$', views.index, name='index'),

]

views.py

from django.shortcuts importrender, HttpResponse, redirectimportjsondefindex(request):return HttpResponse('this is index')deflogin_ajax(request):if request.method == "POST":

user= request.POST.get("user")

pwd= request.POST.get("pwd")

ret= {"status": 0, 'url': ''}if user == "alex" and pwd == "123":

ret['status'] = 1ret['url'] = '/index/'

returnHttpResponse(json.dumps(ret))return render(request, "login_ajax.html")

login.html登录页面

8f900a89c6347c561fdf2122f13be562.png

961ddebeb323a10fe0623af514929fc1.png

登录
{% csrf_token %}

用户名

密码

记住我

$('#login').click(function () {

$.ajax({

url:'/login_ajax/',

type:'post',

data: {

csrfmiddlewaretoken: $("[name='csrfmiddlewaretoken']").val(),

user: $('[name="user"]').val(),

pwd: $('[name="pwd"]').val()

},

success: function (data) {

data=JSON.parse(data);if(data.status) {

window.location=data.url

}else{

alert('登陆失败')

}

}

})

})

View Code

静态文件需要配置,使用了jQuery和Bootstrap。

2.CSRF跨站请求伪造

一共四种方式

1,将 csrfmiddlewaretoken: $("[name='csrfmiddlewaretoken']").val() 放在POST的请求体中。

示例中就是使用的这种方式。

2,给ajax的请增加X-CSRFToken的请求头,对应的值只能是cookie中的csrftoken的值。

所以我们要从cookie中提取csrftoken的值,jQuery不能去cookie,我们使用jquery.cookie的插件。点击下载jquer.cookie插件。

HTML中导入jquery.cookie.js。

8f900a89c6347c561fdf2122f13be562.png

961ddebeb323a10fe0623af514929fc1.png

$('#login').click(function () {

$.ajax({

url:'/login_ajax/',

type:'post',

headers:{"X-CSRFToken":$.cookie('csrftoken') },

data: {

user: $('[name="user"]').val(),

pwd: $('[name="pwd"]').val()

},

success: function (data) {

data=JSON.parse(data);if(data.status) {

window.location=data.url

}else{

alert('登陆失败')

}

}

})

})

View Code

3,使用$.ajaxSetup()给全局的ajax添加默认参数。

可以按照方式一设置data,也可以按照方式二设置请求头。

$.ajaxSetup({

data: {

csrfmiddlewaretoken: $("[name='csrfmiddlewaretoken']").val(),

}

});

或者

$.ajaxSetup({

headers: {"X-CSRFToken": $.cookie('csrftoken')},

});

4,官方推荐方法(用到jquery.cookie插件):

function csrfSafeMethod(method) {// these HTTP methods do notrequire CSRF protectionreturn (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));

}

$.ajaxSetup({

beforeSend: function (xhr, settings) {if (!csrfSafeMethod(settings.type) &&!this.crossDomain) {

xhr.setRequestHeader("X-CSRFToken", $.cookie('csrftoken'));

}

}

});

契卡敲门送温暖四
关注
Django网络安全】如何正确防护CSRF跨站请求伪造_drf csrf
2301_77033672的博客
04-28 766
CSRF(Cross-site request forgery),中文名跨站请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器中的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
Ajax跨站请求伪造漏洞
03-22
Ajax跨站请求伪造漏洞,近日,我们的网站请微软的工程师作了一次漏洞扫描,扫描结果中有两个“跨站请求伪造漏洞”。通过查资料,我做了一番研究,包括此漏洞的入侵条件,被攻击后的损失以及防范措施等。
伪造Ajax
weixin_48657573的博客
08-01 157
ajax是异步的JavaScript和xml,是一种创建交互式网页应用的开发技术。 Ajax是一种浏览器通过js异步发起请求少量的数据交换,局部更新页面的技术。 传统的网页要更新一个内容,或者提交一个表单都需要重新加载整个网页,比较麻烦。 增强了B/S的体验性(B/S:未来的主流爆发式的持续增长) 网页上的请求xhr就是Ajax异步请求伪造Ajax的实例: 我们模拟一个网页搜索栏,实现了不用跳转网页而刷新的效果 <!DOCTYPE html> <html> <head&g
ajax跨站请求伪造
weixin_30664539的博客
11-14 217
ajax提交数据到后台: {#<!DOCTYPE html>#} <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <script src="/static/jquery-3.2.1.min.j...
Iframe伪造Ajax请求
weixin_30646315的博客
07-18 181
form提供数据,Iframe提供通道 form有提交数据的功能,Iframe有不刷新的特性 兼容性最好的方式 转载于:https://www.cnblogs.com/jintian/p/11210801.html
ajax伪造
weixin_30377461的博客
05-28 124
<!DOCTYPE html> <html> <head lang="en"> <meta charset="UTF-8"> <title>伪造AJAX</title> </head> <body> <div&g...
Django CSRF跨站请求伪造防护过程解析
09-18
CSRF跨站请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网站发起对受害者的合法网站的请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
Django中如何防范CSRF跨站请求伪造攻击的实现
09-19
### Django中如何防范CSRF跨站请求伪造攻击的实现 #### CSRF概念 CSRF(Cross-Site Request Forgery,跨站请求伪造),是一种常见的安全攻击手段。在这种攻击中,攻击者利用受害者的身份(通常是通过受害者已...
解决django前后端分离csrf验证的问题
09-19
前后端分离的Web开发模式下,DjangoCSRF(Cross Site Request Forgery,跨站请求伪造)保护机制可能会引发问题,因为它主要是为传统的基于表单的提交设计的。然而,现代应用往往使用Ajax进行异步通信,这就需要...
Djangoajax发送post请求 报403错误CSRF验证失败解决方案
09-18
Django框架中,CSRF(Cross-Site Request Forgery,跨站请求伪造)保护是一种防止恶意用户对网站进行跨站请求伪造攻击的机制。Django默认启用了CSRF保护,它要求所有的POST请求都必须携带一个有效的CSRF令牌。然而...
django08--跨域请求伪造AJAX
qq_42664045的博客
03-05 218
5,跨域请求伪造 post请求需要对后台产生副作用,所以需要跨域请求伪造的方法。,因为我们的django框架, 默认帮我们开启了这个验证,如果说验证不能通过就会报403错误。 默认开启是在settings中启用了,csrf的中间件。 MIDDLEWARE = [ # csrf_token中间件 'django.middleware.csrf.CsrfViewMi...
8、防护XSRF的方式:post请求之类伪造请求
行走的皮卡丘
08-01 1568
每一个用户一个cookie,所用的请求都需要验证这个cookie,如果没有这个cookie,则被认为跨站请求伪造,挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,CSRF 利用的是网站对用户网页浏览器的信任。
post的 csrf 跨栈请求伪造的解决办法
咸鱼!!!
05-31 941
post的跨栈请求伪造的解决办法 方法一:HTML的form表单中增加 {% csrf_token %} 第二种:在项目的setting.py文件中注释中间键 第三种:增加一个装饰器在view的代码中 步骤: 1.导包 2.写入 ...
Django-CSRF,AJAX,FORM
weixin_30569153的博客
12-03 88
内容总览1.CSRF相关1>CSRF源码分析2>ajax的实现(ajax的实例(异步计算,参数测试,上传))3>ajax通过csrf的校验 2.FORM组件1>基本使用2>内部校验器3>自定义函数内部校验4>is_valid()源码分析 1.djangocsrf源码分析1>global_settings与CsrfViewMiddleware ...
Node爬坑记——伪造cookie
思诚^_^
01-21 4725
写在前面 在没有引入NodeJS层之前,客户端和服务端之前的数据传输可以用Ajax来完成,而且服务端可以直接读取客户端请求头携带的cookie,这个直接走 HTTP 协议,没有任何问题。但是当引入了一个NodeJS作为中间层,通过中间层调用服务层(比如Java的数据接口层)的接口时,你会发现 直接走http协议,Java层根本无法读取到 原本从客户端发送过来的cookie。这个时候 就需要在中间
ajax模拟浏览器请,jsonp+ajax实现浏览器跨域通信
weixin_35934603的博客
08-06 313
jsonp是一种技术手段而不是一种协议,也不是json数据。varjsonp_callback=function(responseData){console.log(responseData);};这是js部分同样使用 iframe或者来访问php端代码header('text/html;charset=utf-8');$clientCallback=isset($_GET['callb...
跨站请求伪造CSRF)攻击是什么?如何防御?
fe_watermelon的博客
08-09 2274
我是前端西瓜哥,今天来学习 CSRFCSRF跨站请求伪造,英文全称为 Cross-site request forgery。也可称为 XSRF。CSRF 攻击。当我们成功登录一个网站时,其实浏览器在这个网站域名下保存好了,通常通过 cookies 保存。登录后,我们的在当前域名下发起请求就会带上 cookie,服务器就通过它来确定你对应哪个用户,允许你去执行一些涉及到个人隐私的操作。浏览器的一个机制:访问了一个 url,会带上对应域名的 Cookies,这就给了 CSRF 可乘之机。...
一个CURL模拟登陆论坛的脚本+cookie伪造的方法
热门推荐
wusuopuBUPT的专栏
01-13 1万+
前几天玩了一个游戏, 最后一关用了一个trick~(模拟提交数据) 想起了以前自己写的一个模拟登陆北邮人论坛(旧版)的程序(因为首先要找到logind的地址,以及需要传递哪些参数,wForum容易满足我的需求): 思路是用CURL模拟登陆一次,得到cookie,然后以后都用着这个cookie去访问论坛。 实现如下: <?php /** * @author : wusuopubup
Django利用JS详解AJAX异步请求与性能优化
3. **Headers**:包含额外的请求头信息,如设置`"X-CSRFToken"`,这是为了保护Django应用免受跨站请求伪造(CSRF)攻击,这里使用的是用户的cookie中的`csrftoken`值。 4. **Data**:携带要发送的数据,这里是用户输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值