django的CSRF防护

最新推荐文章于 2022-08-22 15:25:31 发布
最新推荐文章于 2022-08-22 15:25:31 发布
阅读量546 收藏
点赞数 1
分类专栏: django 文章标签: django csrf 跨站伪造请求
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41790086/article/details/80847340
版权

CSRF防护

一、什么是CSRF?

CSRF: Cross-site request forgery,跨站请求伪造

  • 用户登录了正常的网站A, 然后再访问某恶意网站,该恶意网站上有一个指向网站A的链接,那么当用户点击该链接时,则恶意网站能成功向网站A发起一次请求,实际这个请求并不是用户想发的,而是伪造的,而网站A并不知道。

  • 攻击者利用了你的身份,以你的名义发送恶意请求,比如:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账等。

  • 如果想防止CSRF,首先是重要的信息传递都采用POST方式而不是GET方式,接下来就说POST请求的攻击方式以及在Django中的避免

二、CSRF攻击演示

  • 步骤1:登录成功后进入发帖界面,进行发帖(使用post请求发帖,测试时先关闭csrf中间件)

  • 步骤2:限制登录成功后才能发帖

    • 可通过session保存登录成功的用户名
    • 判断session中是否有保存用户名,有才允许发帖

  • 步骤3:CSRF攻击演示


三、CSRF防护

  1. 重要信息如金额、积分等的获取,采用POST请求

  2. 开启CSRF中间件(默认就是开启的)

    # 项目下的setting.py
MIDDLEWARE_CLASSES = (
    ...
    # 开启csrf中间件(默认是开启的)
    'django.middleware.csrf.CsrfViewMiddleware',
    ...
)

  3. 表单post提交数据时加上 {% csrf_token %} 标签

四、防御原理【了解】

  1. 服务器在渲染模板文件时,会在html页面中生成一个名字叫做 csrfmiddlewaretoken 的隐藏域。
  2. 服务器会让浏览器保存一个名字为 csrftoken 的cookie信息
  3. post提交数据时,两个值都会发给服务器,服务器进行比对,如果一样,则csrf验证通过,否则提示403 Forbidden

联系方式

QQ:1217675462
欢迎交流


笑-笑-生
关注
专栏目录
如何解决DjangoCSRF问题
谭小谭的专栏
11-28 1740
  CSRF是什么? CSRF(Cross Site Request Forgery,跨站伪造请求)。举个例子来简单介绍下。有A、B两个web网站,其中A网站存在CSRF漏洞,B网站是攻击者特意设计成一个具有CSRF攻击性的网站,C为一普通用户,当用户C在浏览器中登录A网站后,A网站会将用户的登录信息如cookie返回并保存在浏览器,如果用户C在浏览器中再访问B网站,B网站会诱导用户C执行一个...
Django CSRF跨站请求伪造防护过程解析
09-18
Django框架提供了一套强大的CSRF防护机制,以防止这种攻击。 在Django中,CSRF防护主要通过以下步骤实现: 1. **生成CSRF令牌**:Django会在每个用户会话开始时生成一个唯一的CSRF令牌,并将其存储在用户的session...
Djangocsrf防护
weixin_45921256的博客
02-28 163
csrf防护的目的:防止别的网站通过不正当手段直接访问或修改我们网站用户的数据库 django中的csrf代码段在settings中 注释掉第三行可以关闭csrf防护djangocsrf防护中(只针对post),浏览器http请求(Forbidden)和ajax(403 2274)请求不一样 前者处理:在模板html内要提交的表单中加上{% csrf_token %} 后者处理:在view...
Django CSRF防护
运维@小兵的博客
01-27 594
文章目录一、CSRF是什么二、CSRF工作原理三、使用CSRF防护机制四、取消CSRF防护机制 参考视频:https://ke.qq.com/course/320021 一、CSRF是什么 CSRF(Cross Site Request Forgery):跨站请求伪造,实现的原理是CSRF攻击者在用户已经登录目标网站之后,诱使用户访 问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 二、CSRF工作原理 Django怎么验证一个请求是不是CS
DjangoCSRF防护
hehui1uu的博客
05-17 191
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录一、CSRF是什么?二、CSRF防护机制防护原理简介csrf防护函数相关介绍csrf防护的一些补充每日一图 一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF,这是一种对网站的恶意利用,窃取网站用户信息来制造恶意请求。 二、CSRF防护机制 Django为了防护这类攻击
django csrf 防护
xiaobukasi的专栏
05-26 99
作用: 防止跨站请求 配置文件: MIDDLEWARE = [ 'django.middleware.csrf.CsrfViewMiddleware', ] 模板: {% csrf_token%} 视图类视图函数默认都加入csrf验证 from django.views.decorators.csrf import csrf_exempt,csrf_protect fbv: 去掉csrf防护 @csrf_exempt 加入csrf防护 @csrf_pro...
django框架CSRF防护原理与用法分析
09-19
### Django框架CSRF防护原理与用法分析 #### 一、什么是CSRF? **CSRF**(Cross-site request forgery,跨站请求伪造)是一种常见的安全攻击手段,它利用已认证用户的浏览器来发起针对Web应用程序的恶意操作。这种...
Django csrf 两种方法设置form的实例
09-19
#### 二、CSRF防护原理 CSRF 攻击是指攻击者诱导用户在当前已登录的状态下发送恶意请求,从而达到执行非用户本意操作的目的。Django 通过在每个 POST 请求中嵌入一个唯一的 CSRF 令牌来实现防护。该令牌存储在用户的...
DjangoCSRF防护原理及使用
逸尘的专栏
05-29 4968
django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。全局:中间件 django.middleware.csrf.CsrfViewMiddleware局部:@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没
django之防止CSRF攻击
weixin_45912307的博客
10-10 185
1. 在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值 1.生成 csrf_token 的值 2.在返回转账页面的响应里面设置 csrf_token 到 cookie 中 3.渲染转换页面,传入 csrf_token 到模板中 def get(self, request): # 1.生成csrf_token from django.middleware.csrf import get_token csrf
csrf攻击的原理和Django防范csrf攻击的方法
KrystalCSDN的博客
11-10 330
csrf攻击的原理 CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作。比如说,受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/withdraw?account=bob&amount=1000000&for=bob2 可以使 Bob 把 1000000 ...
Djangocsrf防御机制
aaronthon的博客
09-26 255
1、csrf攻击过程 csrf攻击说明: 1.用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3.用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 4.网站B接收到用户请求后,返回一些攻击...
Django | 安全防护CSRF跨站请求和SQL注入攻击
计算机魔术师的blog
08-22 3976
一、演示CSRF漏洞 二、环境准备 三、模拟黑客🐱‍👤 四、解决办法 五、SQL注入攻击漏洞
django之防止csrf跨站***
weixin_33767813的博客
12-16 114
环境同前django文章。启动dajngo的web服务:]#cdpy3/django-test1/test4 ]#pythonmanage.pyrunserver192.168.255.70:8000定义2个视图,其中csrf1提交表单,csrf2接收提交的表单:]#vimbookshop/views.py fromdjango.shortcutsimpo...
Django开发web安全防护
weixin_30485799的博客
07-13 482
<1> sql注入攻击与防范   (1)、sql注入的危害     1、非法读取,篡改,删除数据库的中的数据;     2、盗取用户的各类敏感信息,获取利益;     3、通过修改数据库来修改网页上的内容;     4、注入木马等等; (2)、sql注入的防范    1、对于用户的输入进行合法性判断;     2、参数中加入sql语句拼接字符串使之为真;   ...
[Django] CSRF应用以及加装饰器
Moke
09-18 634
Form表单添加 {% csrf_token %} 全站禁用 setting中注释csrf既可以禁用; # 'django.middleware.csrf.CsrfViewMiddleware', 局部禁用 'django.middleware.csrf.CsrfViewMiddleware',# setting不注释 #导入csrf_exempt from django.views...
Django: csrf防御机制 以及解决方法
harry
09-05 1165
原文链接:点击打开链接
Django form 防止csrf 的解决方法
YUAYU博客
09-02 508
解决方法1: Django默认开启防止csrf(跨站请求伪造)攻击,在post请求时,没有上传 csrf字段时,导致校验失败,报403错误 MIDDLEWARE = [ # 'django.middleware.csrf.CsrfViewMiddleware', ] 注释掉此段代码,即可。 缺点:导致Django项目完全无法防止csrf攻击 解决方法2: 在 views.py文件中: #导入,可以使此次请求忽略csrf校验 from django.views.decorators.csrf impor
Django中如何防范CSRF跨站请求伪造攻击
Alex
05-08 448
CSRF概念 CSRF跨站请求伪造(Cross—Site Request Forgery)。 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 CSRF攻击原理以及过程 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A...
Django CSRF保护机制深度解析
为了防止这种情况,CSRF防护机制引入了令牌(token)的概念。在用户发送POST、PUT或DELETE请求之前,先以GET方式获取一个随机的CSRF令牌,然后在后续的请求中携带该令牌,服务器通过验证这个令牌来确认请求的合法性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值