python cookie伪造_Python Django-CSRF跨站请求伪造防护

最新推荐文章于 2021-03-25 10:58:53 发布
最新推荐文章于 2021-03-25 10:58:53 发布
阅读量213 收藏
点赞数
文章标签: python cookie伪造

前言

CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。

攻击原理

1、用户访问正常的网站A,浏览器就会保存网站A的cookies。

2、用户在访问恶意网站B, 网站B上有某个隐藏的链接会自动请求网站A的链接地址,例如表单提交,传指定的参数。

3、恶意网站B的自动化请求,执行就是在用户A的同一个浏览器上,因此在访问网站A的时候,浏览器会自动带上网站A的cookies。

4、所以网站A在接收到请求之后,可判断当前用户登录状态,所以根据用户的权限做具体的操作逻辑。

防范措施

1、在指定表单或者请求头的里面添加一个随机值作为参数。

2、在响应的cookie里面也设置该随机值。

3、用户正常提交表单的时候会默认带上表单中的随机值,浏览器会自动带上cookie里面的随机值,那么服务器下次接收到请求之后就可以取出两个值进行校验。

4、对于网站B来说网站B在提交表单的时候不知道该随机值是什么,所以就形成不了攻击。

Django中CSRF中间件

django在创建项目的时候,默认就会有添加中间进行CSRF的保护,在MIDDLEWARE可以看到加载了django.middleware.csrf.CsrfViewMiddleware的中间件,这里是全局设置,也可以局部设置。

全局保护:直接启用中间件就可以了。

局部保护:from django.views.decorators.csrf import csrf_exempt,csrf_protect,使用装饰器进行验证。csrf_protect:为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件;csrf_exempt:取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

验证

在POST请求提交数据的时候,django会去检查是否有一个csrf的随机字符串,如果没有就会返回403没有权限访问。

表单验证

在form表单里面需要添加{%csrf_token%},Django会自动渲染隐藏的input输入框:

在表单提交的时候,中间件会验证csrfmiddlewaretoken。

通过ajax提交

通过cookies获取到csrftoken,

// using jQueryfunction getCookie(name) {var cookieValue = null;if (document.cookie && document.cookie !== '') {var cookies = document.cookie.split(';');for (var i = 0; i < cookies.length; i++) {var cookie = jQuery.trim(cookies[i]);// Does this cookie string begin with the name we want?if (cookie.substring(0, name.length + 1) === (name + '=')) {cookieValue = decodeURIComponent(cookie.substring(name.length + 1));break;}}}return cookieValue;}$("#submit").click(function () {$.ajax({url:"/login/",type:"POST",data:{"usr":"admin","pwd":"HpFledIS3ef"},headers:{ "X-CSRFtoken":getCookie('csrftoken'),success:function (arg) {}})})

局部禁用或者启用

1、如果是函数视图,可以直接在函数加上装饰器即可:

from django.views.decorators.csrf import csrf_exempt,csrf_protect@csrf_exemptdef login(request):if request.method == 'GET':return render(request,'login.html')else:return HttpResponse('ok')

2、如果是类视图,需要使用方法装饰器进行封装

from django.utils.decorators import method_decoratorfrom django.views.decorators.csrf import csrf_exempt,csrf_protectfrom django.views.generic import TemplateView@method_decorator(csrf_exempt)class LoginView(TemplateView):template_name = 'login.html'def post():return HttpResponse('ok')

3、直接装饰as_view()方式,在URLconf里面设置。

from django.views.decorators.csrf import csrf_exempt,csrf_protecturlpatterns = [path('login/', csrf_exempt(LoginView.as_view()),name="login"),]

weixin_39984442
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python+request.session关联cookie:登录并访问用户中心
JokerQI的博客
02-09 9674
1、访问用户中心需要登录接口返回的cookie中的csfrtoken和sessionid 2、用户中心需要的csrftoken和sessionid可以从登录login接口的response header里看到 3、pytest中提供的request.session会自动管理cookie,所以写login接口的时候要用 s=request.session() r=s.post(url,data=body) login接口请求成功后request.session会更新cookie。 4、第二个
python csrf token cookie_{% csrf_token %} 原理和作用 (踩坑必看)
weixin_39763033的博客
02-19 345
简介在django中我们需要在templates的form中加入{%csrf_token%}这串内容,它的作用是当我们get表单页面时,服务器返回页面的同时也会向前端返回一串随机字符,post提交时服务器会验证这串字符来确保用户是在服务端返回的表单页面中提交的数据,防止有人通过例如jquery脚本向某个url不断提交数据,是一种数据提交的验证机制。用途跨站请求伪造(CSRF)保护CSRF攻击允许...
python csrf token cookie_使用Python请求访问时,网站未设置csrftoken cookie
weixin_36473057的博客
03-01 271
我正在尝试使用该requests库登录站点,但它通常无法正常工作。我希望该网站像通过浏览器访问时一样发送一个cookiecsrftoken: Bl5DOVcUge5VeRv771nAIUNbxmm9Z9l2但是,我收到的只是以下内容:__cfduid: d2f8e300a0b867e8a6147462f3977f8b11375815648197 for .example2.net/这是我期望的:...
转 关于request.files的用法
热门推荐
fakerdad的博客
08-20 2万+
转 关于request.files的用法 ...
python requests请求带有csrf-token的网站,比如使用Django搭建的网站
水月灯花的博客
05-15 7814
1、post请求原理 在使用Python中的request模块的post请求时,由于网站开启了csrf跨站请求攻击,会出现403错误,因为我们在使用post的时候没有携带csrf数据去验证,网站会不认可我们,因此我们需要第一次的时候使用get请求,然后使用re正则匹配到这个csrf-token命令,取出来这个命令,然后在使用post发送请求,在请求中的数据中添加csrf的键值对,然后就可以使用post访问到网上了,并且也可以post请求携带数据。 2、操作方式 就是先访问一次登录页,然后从登录页中查找
Django CSRF跨站请求伪造防护过程解析
09-18
主要介绍了Django CSRF跨站请求伪造防护过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
django admin theme suit_pythondjango_Suit_djangosuit_django-suit
10-04
django管理员页面的主题,python开发
django-scheduler_python_django_
10-01
A calendaring app for Django.
Python库 | opentelemetry_ext_django-0.7b1-py3-none-any.whl
02-18
python库,解压后可用。 资源全名:opentelemetry_ext_django-0.7b1-py3-none-any.whl
python requests cookies,pythonrequests模拟登录的三种方式(携带cookie/session进行请求网站)...
weixin_42287030的博客
03-25 1149
一,cookie和session的区别cookie在客户的浏览器上,session存在服务器上cookie是不安全的,且有失效时间session是在cookie的基础上,服务端设置session时会向浏览器发送设置一个设置cookie请求,这个cookie包括session的id当访问服务端时带上这个session_id就可以获取到用户保存在服务端对应的session二,爬虫处理cookie和s...
Python+MySQL分表分库实战
02-18
Python+MySQL分表分库实战. 值得收藏与下载哦....!!!!!!!!!!!!
Django中如何防范CSRF跨站请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF跨站请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
python的数据库中间件_python项目Django(中间件)
weixin_39739846的博客
12-06 248
一、中间件介绍中间件顾名思义,是介于request与response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出。因为改变的是全局,所以需要谨慎实用,用不好会影响到性能。Django的中间件的定义:Middleware is a framework of hooks into Django’s request/response processing. It’s ...
python cookie伪造_Python 通过cookie注入状态
weixin_39727863的博客
12-11 478
Python 通过cookie注入状态,Cookie的引入改变了客户端和服务器之间的整体关系,使之状态化了,然而没有涉及对HTTP协议本身的修改。状态信息通过请求和响应的报头进行通信。服务器会在响应报头中向用户代理发送cookie。用户代理会在请求报头中保存并使用cookie进行响应。用户代理或浏览器需要保留cookie值的缓存,将它作为响应的一部分来提供,并在后续的请求中包含相应的cookie。...
Python 框架——中间件详解!进阶&面试必备!
qq_31479309的博客
04-25 9191
什么是中间件?中间件是一个Python程序员用来处理Django请求和响应的框架级别的钩子,它是一个轻量,低级别的插件系统,用于全局范围内改变Django的输入,输出。每个中间件组件都负责做一些特定的功能。说的直白一点是中间件就是帮我们程序员在视图函数执行之前和执行之后都可以一些额外的操作,它是一个自定义的类,类中定义了几个方法,Django框架会在请求的特定时间去执行这些方法。在Python项...
python的数据库中间件MySqlDb的安装
陶辉:聚焦分布式系统的程序员
12-31 4070
<br />python写程序确实很方便,最近开始准备用它来实现一些自己一直想写的东东。同时,python确实还不够成熟,许多库用起来,安装起来都是问题多多。<br /> <br />这个MySqlDb用于用python代码操作mysql数据库。网上搜的话,很多人都直接用MySQL-python-1.2.3.tar.gz编译安装。殊不知,这对WINDOWS操作系统实在是错误太多了,不停的解决错误,终于还是安装不了。这种安装方式还是在linux下进行吧,WINDOWS直接用直接改用编译好的exe的好。先给大家
python写数据库中间件_Djang多数据库路由与中间件
weixin_42097189的博客
02-09 258
我在正确设置中间件和路由器以支持多个数据库时遇到了一个问题,每种语言对应一个数据库(我决定将它们分开)。在我试图使用this solution,但目前我没有得到太多的使用。在在我的设置.py数据库和中间件的定义如下:DATABASES = {'default': {},'ru': {'ENGINE': 'django.db.backends.sqlite3','NAME': 'db_ru.sqli...
Python3之Django Web框架中间件
Quincy.Coder的博客
11-06 1055
中间件的使用:主要用来处理页面的登录校验、跨站请求伪造防御、日志记录、session设置,权限管理等 具体代码:class MiddlewareMixin(object): def __init__(self, get_response=None): self.get_response = get_response super(MiddlewareMixin,
python写数据库中间件_Pyhton学习-Python与中间件之Redis(5)
weixin_39664585的博客
12-08 114
Pyhton浅谈-Python与中间件之Redis(5)一、Redis也可以作为缓存中间件使用:Redis是典型的NoSQL的代表,也可以使用Python操作Redis,在此不做过多介绍,见博客:https://www.cnblogs.com/catt1e/p/12565345.html,此博客主要介绍Redis作为缓存中间件;二、Redis与Memcache的比较:三、Python处理Redis...
Django中的CSRF(跨站请求伪造)
最新发布
05-19
CSRF(Cross-Site Request Forgery)即跨站请求伪造,是一种常见的Web...总之,DjangoCSRF防护机制可以有效地保护应用程序免受跨站请求伪造攻击。如果你的应用程序涉及到敏感数据或者操作,一定要开启CSRF防护机制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值