python csrf token_python之csrf简介

最新推荐文章于 2024-04-04 04:10:50 发布
最新推荐文章于 2024-04-04 04:10:50 发布
阅读量339 收藏 1
点赞数
文章标签: python csrf token

django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。

全局:

中间件 django.middleware.csrf.CsrfViewMiddleware

局部:

@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。

@csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

注意:from django.views.decorators.csrf import csrf_exempt,csrf_protect

原理

当用post提交数据的时候,django会去检查是否有一个csrf的随机字符串,如果没有就会报错,这也是之前我们一直将其注释的原因,错误如下:

在django内部支持生成这个随机字符串

通过form提交

在form表单里面需要添加{%csrf_token%}

这样当你查看页面源码的时候,可以看到form中有一个input是隐藏的

总结原理:当用户访问login页面的时候,会生成一个csrf的随机字符串,,并且cookie中也存放了这个随机字符串,当用户再次提交数据的时候会带着这个随机字符串提交,如果没有这个随机字符串则无法提交成功

cookie中存放的csrftoken如下图

通过ajax提交

因为cookie中同样存在csrftoken,所以可以在js中通过:

$.cooke("cstftoken")获取

如果通过ajax进行提交数据,这里提交的csrftoken是通过请求头中存放,需要提交一个字典类型的数据,即这个时候需要一个key。

在views中的login函数中:from django.conf import settings,然后打印print(settings.CSRF_HEADER_NAME)

这里需要注意一个问题,这里导入的settings并不是我们在项目文件下看到的settings.py文件,这里是是一个全局的settings配置,而当我们在项目目录下的settings.py中配置的时候,我们添加的配置则会覆盖全局settings中的配置

print(settings.CSRF_HEADER_NAME)打印的内容为:HTTP_X_CSRFTOKEN

这里的HTTP_X_CSRFTOKEN是django在X_CSRF的前面添加了HTTP_,所以实际传递的是就是X_CSRFtoken,而在前端页面的ajax传递的时候由于不能使用下划线所以传递的是X_CSRFtoken

下面是在前端ajax中写的具体内容:

$("#btn1").click(function () {

$.ajax({

url:"/login/",

type:"POST",

data:{"usr":"root","pwd":"123"},

headers:{ "X-CSRFtoken":$.cookie("csrftoken")},

success:function (arg) {

}

})

})

但是如果页面中有多个ajax请求的话就在每个ajax中添加headers信息,所以可以通过下面方式在所有的ajax中都添加

$.ajaxSetup({

beforeSend:function (xhr,settings) {

xhr.setRequestHeader("X-CSRFtoken",$.cookie("csrftoken"))

}

});

这样就会在提交ajax之前执行这个方法,从而在所有的ajax里都加上这个csrftoken

这里的xhr是XMLHttpRequest的简写,ajax调用的就是这个方法

如果想要实现在当get方式的时候不需要提交csrftoken,当post的时候需要,实现这种效果的代码如下:

function csrfSafeMethod(method) {

// these HTTP methods do not require CSRF protection

return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));

}

$.ajaxSetup({

beforeSend: function(xhr, settings) {

if (!csrfSafeMethod(settings.type) && !this.crossDomain) {

xhr.setRequestHeader("X-CSRFToken", csrftoken);

}

}

});

这样就实现了当GET|HEAD|OPTIONS|TRACE这些方式请求的时候不需要提交csrftoken

weixin_39570838
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python csrf token_使用python请求和csrf-token登录
weixin_42509614的博客
02-09 1224
我正在使用python的请求模块尝试登录网页 . 我打开一个requests.session(),然后我得到了一个元组件中包含的cookie和csrf-token . 我使用用户名,密码,隐藏的输入字段和元标记中的csrf-token构建我的有效负载 . 之后,我使用post方法,我通过登录URL,cookie,有效负载和 Headers . 但之后我无法访问登录页面后面的页面 . 我究竟做错了...
使用python请求传递csrftoken
erfan_lang的博客
02-14 4417
如何通过python模块Requests传递csrftoken? 参考代码 import requests from bs4 import BeautifulSoup as bs import lxml # Page header head= { 'Content-Type':'application/x-www-form-urlencoded', 'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHT
CSRF介绍及Python实现
最新发布
Null的博客
04-04 862
你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。
python接口自动化案例_python接口自动化12-案例分析(csrfToken)【转载】
weixin_39661345的博客
12-05 110
前言:有些网站的登录方式跟前面讲的博客园和token登录会不一样,把csrfToken放到cookie里,登录前后cookie是没有任何变化的,这种情况下如何绕过前端的验证码登录呢?一、登录前后对比1.如果登录页面有图形验证码,这种我们一般都是绕过登录的方式,如下图通过抓包分析,首先不输入密码,抓包(由于这个是别人公司内部网站,所以网址不能公开,仅提供解决问题的思路)2.在登录页面输入账号和密码手...
python csrf token_pythonCSRF令牌丢失或不正确,即使我有{%csrf_token%}
weixin_39946460的博客
12-08 355
我在我的views.py文件中引用了这个方法,我一直在收到这个错误:def AddNewUser(request):a=AMI()if(request.method == "POST"):print(request.POST)# print(request['newUser'])# print(request['password'])return render_to_response("ac/Ad...
python token发送请求_通过python请求传递csrftoken
weixin_39883129的博客
12-05 324
How do you pass a csrftoken with the python module Requests? This is what I have but it's not working, and I'm not sure which parameter to pass it into (data, headers, auth...)import requestsfrom bs4...
Python Django框架防御CSRF攻击的方法分析
09-18
2. **在模板中使用`{% csrf_token %}`**:在需要防护的POST表单中,必须包含`{% csrf_token %}`模板标签。这个标签会自动生成并插入CSRF令牌的隐藏字段,如以下示例的`demo.html`模板所示: ```html <!DOCTYPE ...
python Django里CSRF 对应策略详解
09-18
2. **验证CSRF令牌**:当用户提交POST请求时,Django会检查请求头中的`X-CSRFToken`(或cookie中的`csrftoken`)与表单中`{% csrf_token %}`标签生成的隐藏字段值是否一致。如果两者匹配,请求被认为是安全的;否则...
asgi-csrf:ASGI中间件,用于防御CSRF攻击
05-26
asgi-csrf ASGI中间件,用于防御CSRF攻击 ... 该令牌的值将通过scope["csrftoken"]函数提供给您的ASGI应用程序。 您的应用程序代码应将该值作为任何POST表单中的隐藏表单字段包括在内: < form
Flask框架 CSRF 保护实现方法详解
01-02
本文实例讲述了Flask框架 CSRF 保护实现方法。分享给大家供大家参考,具体如下: Flask CSRF 保护 为什么需要 CSRF? 具体操作步骤 实现 后端书写 在表单添加保护 自定义错误响应和关闭保护 ajax提交数据 ...
django 取消csrf限制的实例
09-17
response['X-CSRFToken'] = csrf_token return response ``` 前端接收到这个Token后,可以将其设置为Ajax请求的Header,如下所示(假设使用jQuery): ```javascript $.ajax({ url: '/api/add_bookshelf/', type...
python csrf token cookie_{% csrf_token %} 原理和作用 (踩坑必看)
weixin_39763033的博客
02-19 346
简介在django中我们需要在templates的form中加入{%csrf_token%}这串内容,它的作用是当我们get表单页面时,服务器返回页面的同时也会向前端返回一串随机字符,post提交时服务器会验证这串字符来确保用户是在服务端返回的表单页面中提交的数据,防止有人通过例如jquery脚本向某个url不断提交数据,是一种数据提交的验证机制。用途跨站点请求伪造(CSRF)保护CSRF攻击允许...
python csrf token_使用Python CGIHTTPServer绕过注入时的CSRF Token防御
weixin_39892019的博客
12-08 217
前言CSRF tokens是服务器生成的一串随机值,其主要作用是防止表单重复提交以及请求伪造攻击。由于该生成值具有随机性,一次性,并且是基于服务器端的前一个请求生成的,因此黑客几乎不可能伪造它。Burp Suite虽说无法伪造,但并不代表我们就不能绕过它。这里,不得不提及一款web渗透神器Burp Suite。在Burp上有多种配置其使用宏来绕过HTML表单上CSRF tokens的方法,例如我们...
python csrf token_python爬虫如何获取X-CSRF-Token
weixin_39957647的博客
12-08 2107
headers3 = {"Accept": "application/json, text/javascript, */*; q=0.01","Accept-Encoding": "gzip, deflate","Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2","Connection":...
Python如何获取csrf_token
weixin_41548578的博客
11-27 4424
前言 突然接到一个任务,将Jenkins与我们的自动化测试平台集成进来,自动化平台时基于python+django的。这就需要写一个python脚本去调用平台的runsuite接口,由Jenkins去触发。 通过Charles抓取到相应的接口后执行起来一直报403,调查后发现是由于Django平台设置的csrf_token一直在变化. 解决办法 用postman运行接口时,可以在postman的T...
【笔记】Python3|爬虫请求 CSRF-Token 时如何获取TokenToken过期、处理 CSRF-Token 需要注意的问题及示例
qq_46106285的博客
03-19 7589
注意CSRF-Token可能也在响应头中,以及requests请求的时候要用Session,不然就会过期。
python接口自动化12-案例分析(csrfToken)【转载】
anbaduay633369的博客
11-10 164
前言: 有些网站的登录方式跟前面讲的博客园和token登录会不一样,把csrfToken放到cookie里,登录前后cookie是没有任何变化的,这种情况下如何绕过前端的验证码登录呢? 一、登录前后对比 1.如果登录页面有图形验证码,这种我们一般都是绕过登录的方式,如下图通过抓包分析,首先不输入密码,抓包 (由于这个是别人公司内部网站,所以网址不能公开,仅提供解决问题的思路...
python csrf token_Pythoncsrftoken的问题
weixin_29331689的博客
02-09 509
我试图创建一个脚本,自动登录到earthdata站点,因为我想从那里下载文件,但是我很难找到csrf_令牌的正确名称。当我运行下面的脚本时,它总是给我以下错误:KeyError:“name='authenticity_token',domain=None,path=None”有人知道我怎么找到正确的名字吗,或者我在这里做了其他错事?谢谢import requestsfrom requests im...
python web 开发中的csrf_token问题及处理方法
weixin_30709929的博客
09-03 607
1 转载于:https://www.cnblogs.com/robinunix/p/7470345.html
python x-csrf-token
05-13
csrf_token = "your_csrf_token_here" # 构造请求头 headers = { "X-CSRF-Token": csrf_token, "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值