配置csrf_Python Django框架防御CSRF攻击的方法分析

最新推荐文章于 2022-02-28 19:35:41 发布
最新推荐文章于 2022-02-28 19:35:41 发布
阅读量141 收藏
点赞数
文章标签: 配置csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39627430/article/details/112702476
版权

项目名/settings.py(项目配置,csrf中间件配置):

MIDDLEWARE_CLASSES = ( 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', # django默认启用了csrf防护,只针对post表单提交进行防护。 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.auth.middleware.SessionAuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', 'django.middleware.security.SecurityMiddleware',)

templates/应用名/demo.html(模板文件,csrf防护):

 修改密码页面
{% csrf_token %} {# csrf_token是Django提供的,用于csrf防护。该变量会替换成一个表单隐藏域。 #} 新密码:
1a1edbe00db5607678e79ae44adf9630.png

django防止csrf攻击的方式:

  • 默认打开csrf中间件。
  • 表单post提交数据时加上{% csrf_token %}标签。

防御原理:

  1. 渲染模板文件时在页面生成一个名字叫做csrfmiddlewaretoken的隐藏域。
  2. 服务器交给浏览器保存一个名字为csrftoken的cookie信息。
  3. 提交表单时,两个值都会发给服务器,服务器进行比对,如果一样,则csrf验证通过,否则失败。

最后多说一句,小编是一名python开发工程师,这里有我自己整理了一套最新的python系统学习教程,包括从基础的python脚本到web开发、爬虫、数据分析、数据可视化、机器学习等。想要这些资料的可以关注小编,并在后台私信小编:“01”即可领取。

weixin_39627430
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python web实战 | 细说 Django 的跨站点请求伪造(CSRF)保护
Saki_Python的博客
08-16 437
本文详细介绍了 Django 中的跨站点请求伪造(CSRF)保护机制。实际开发中,仅仅靠CSRF机制并不是绝对安全的,还应该结合其他安全措施,综合多种技术来确保应用程序的安全性。
选择一个 Python Web 框架Django vs Flask vs Pyramid
草根上的须子
09-07 845
http://python.jobbole.com/88447/ Pyramid, Django, 和 Flask都是优秀的框架,为项目选择其中的哪一个都是伤脑筋的事。我们将会用三种框架实现相同功能的应用来更容易的对比三者。也可以直接跳到框架实战(Frameworks in Action)章节查看代码(code)。 1 简介 世界上可选的基于Pythonweb框架有很多。Dja
Django中如何防范CSRF跨站点请求伪造攻击
weixin_48794920的博客
07-31 162
Django CSRF 攻击 CSRF概念 CSRF跨站点请求伪造(Cross—Site Request Forgery)。 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 CSRF攻击原理以及过程 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登
Python自动化运维 - Django(三)CSRF - Cookie&Session
anhuoqiu1787的博客
03-20 263
CSRF跨站请求伪造   CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 CSRF攻击...
python Django学习(14)——CSRF
weixin_42567323的博客
10-16 211
前言     之前在做form表单提交或者ajax提交的时候,都会提前在settings.py中做一个配置:找到MIDDLEWARE,把里面关于CSRF那一句注释掉,然后再做提交,那么,如果我们不注释,会出现什么情况呢? 一.CSRF原理     我们先来把注释CSRF的那一句打开,然后运行程序,在login页面输入账...
Python Django框架防御CSRF攻击方法分析
12-31
本文实例讲述了Python Django框架防御CSRF攻击方法。分享给大家供大家参考,具体如下: 项目名/settings.py(项目配置csrf中间件配置): MIDDLEWARE_CLASSES = ( 'django.contrib.sessions.middleware....
课程设计(论坛网站_python_Django框架).rar
02-13
在本课程设计中,我们将构建一个论坛网站,利用Python编程语言和Django框架的优势,同时结合Bootstrap库来提升用户界面的美观性和响应性。Django是一个高效、全功能的Web开发框架,它允许开发者快速地构建高质量的...
crm1_pythondjango_
09-30
【标题】"crm1_pythondjango_" 指的可能是一个基于Python Django框架构建的客户关系管理(CRM)应用项目。DjangoPython web开发的一个流行框架,它提供了丰富的功能,包括数据库模型、URL路由、表单处理、模板系统...
Django_pt_1_pythondjango_
09-29
- **安全性**:Django内置了防止常见的Web攻击,如跨站脚本(XSS)和跨站请求伪造(CSRF)的防护措施。 - **数据库无关性**:Django的ORM(对象关系映射)允许开发者用Python代码操作数据库,无需直接写SQL,且支持...
Flask、DjangoPyramid三个框架的对比
科大浪子的专栏
05-20 7278
转自:http://mp.weixin.qq.com/s?__biz=MzA4MjEyNTA5Mw==&mid=207397419&idx=1&sn=1629f9a29fde851d0287d135c22b6221#rd 1.简介 在python web框架的世界里充满了选择。有Django,Flask,Pyramid,Tornado,Bottle,Di
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。 教你如何在AJAX请求上设置令牌。
Django vs Flask vs Pyramid: 如何去选择一个Python Web框架
Dhyana
11-19 5736
Djangovs Flask vs Pyramid: 如何去选择一个PythonWeb框架   原文链接:https://www.airpair.com/python/posts/django-flask-pyramid   1                         前言   PyramidDjango和Flask都是非常不错的Web框架,如何为你的项目从中选择最合适的是一
【安全】(二)Djangocsrf防御
财迷的博客
02-28 1262
【安全】(二)Djangocsrf防御
Django vs Flask vs Pyramid 选择你的WEB框架
weixin_34326429的博客
02-06 174
Pyramid, Django, 和 Flask都是优秀的框架,为项目选择其中的哪一个都是伤脑筋的事。我们将会用三种框架实现相同功能的应用来更容易的对比三者。也可以直接跳到框架实战(Frameworks in Action)章节查看代码(code)。1 简介世界上可选的基于Pythonweb框架有很多。Django, Flask, Pyramid, Tornado, Bottle, Diesel...
Django——CSRF防御
小白一直白
01-28 436
关于CSRF攻击原理在上一篇博客已经有过说明,这篇主要介绍下Django关于开启CSRFCSRF工作机理。关于开启防御有两种,一种是全局开启,另一种是局部开启。 全局: 中间件 django.middleware.csrf.CsrfViewMiddleware 局部:from django.views.decorators.csrf import csrf_exempt,csrf_prot...
python middleware模块_详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击...
weixin_39864601的博客
12-10 215
一、在django后台处理1、将django的setting中的加入django.contrib.messages.middleware.MessageMiddleware,一般新建的django项目中会自带的。MIDDLEWARE_CLASSES = ['django.middleware.security.SecurityMiddleware','django.contrib.sessions...
django源码分析:中间件CsrfViewMiddleware
Victor_Monkey的博客
12-18 1059
本文环境python3.5.2,django1.10.x系列 介绍django中关于跨域请求保护的内容,主要由其中一个中间件完成,下面稍微讲一下关于csrf原理和django中间件在请求中的作用,重点将放到CsrfViewMiddleware中间键的源码讲解。 csrf原理 CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存...
使用python请求传递csrftoken
erfan_lang的博客
02-14 4432
如何通过python模块Requests传递csrftoken? 参考代码 import requests from bs4 import BeautifulSoup as bs import lxml # Page header head= { 'Content-Type':'application/x-www-form-urlencoded', 'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHT
django 怎么解析ensure_csrf_cookie
最新发布
06-02
from django.views.decorators.csrf import ensure_csrf_cookie @ensure_csrf_cookie def my_view(request): # your view code here ``` 这样,当 `my_view` 函数被调用时,Django 会自动为当前用户设置 CSRF ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值