Django:csrf防御机制

最新推荐文章于 2023-04-24 08:00:00 发布
最新推荐文章于 2023-04-24 08:00:00 发布
阅读量272 收藏 2
点赞数 2
分类专栏: Django 文章标签: Django CSRF防御机制 csrf_token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42217154/article/details/85243110
版权

{% csrf_token %}标签,csrf 全称是 Cross Site Request Forgery。是Django提供的防止伪装提交请求的功能。POST 方法提交的表格,必须有此标签。

Django在template中写form时,要加上{% csrf_token %},否则会报错。

目的:csrf_token是为了防止CSRF(跨站请求伪造)。

csrfæ»å»è¯´æcsrf攻击说明

1.用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;

2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;

3.用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;

4.网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;

5.浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。

具体的什么是CSRF,有篇文章讲的很好,看完故事就差不多理解了。趣解XSS和CSRF的原理

在渲染模板时,Django会把{% csrf_token %}替换成<input type='hidden',name='csrfmiddlewaretoken',value='服务器随机生成的token'>,在提交表单时,会将这个token提交上去。

麻辣_水煮鱼
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
解决Django提交表单报错:CSRF token missing or incorrect的问题
12-20
通常,当存在真正的跨站点请求伪造时,或者DjangoCSRF机制没有被正确使用时,就会出现这种情况。至于邮递表格,你须确保: 您的浏览器正在接受cookie。 视图函数将一个请求传递给模板的呈现方法。 在模板中,每个...
CSRF漏洞攻击原理及防御方案
xv7777666的博客
04-07 2017
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。但是,如果用户还未退出网站A,或者当时恰巧刚访问网站A不久,他的浏览器与网站A之间的session 尚未过期,浏览器的cookie 之中含有用户的认证信息。这时,悲剧发生了,这个url 请求就会得到响应,黑客就能以用户的权限修改密码,且用户毫不知情。在通常情况下,验证码能很好遏制CSRF攻击。
CSRF防御方案
hdwlwang的博客
04-24 3608
我们也可以用自定义HTTP头的方法来防御CSRF攻击,因为虽然浏览器会阻止向外站发送自定义的HTTP头,但是允许向本站通过XMLHttpRequest的方式发送自定义HTTP头。比如,prototype.js这个JavaScript库就是使用这种方法,并且增加了 X-Requested-By头到XMLHttpRequest里面。
CSRF 详解与攻防实战
weixin_34327223的博客
09-21 425
本文从属于笔者的信息安全实战中Web 渗透测试实战系列文章。建议先阅读下Martin Fowler的网络安全基础。 Cross Site Request Forgery CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为...
CSRF
阳光梦的专栏
06-04 1237
预防CSRF攻击 什么是CSRF CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 那么CSRF到底能够干嘛呢?你可以这样简单的理解:攻击者可以盗用你的登陆信息,以你的身份模拟发送各种请求。攻击者只要借助少许的社会工程学的诡计,例如通过QQ等
基于java config的springSecurity(三)--加入RememberMe,启用CSRF和增强密码
热门推荐
xiejx618的专栏
01-12 1万+
参考http://docs.spring.io/spring-security/site/docs/3.2.5.RELEASE/reference/htmlsingle/的Remember-Me Authentication和Cross Site Request Forgery (CSRF) 一.加入remember me 1.修改配置 @Override protected v
django 取消csrf限制的实例
09-17
主要介绍了django 取消csrf限制的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
django-csrf使用和禁用方式
12-20
orm表单使用csrf a. 基本应用 form表单中添加 {% csrf_token %} ... from django.views.decorators.csrf import csrf_exempt @csrf_exempt def csrf1(request): if request.method == 'GET': return
【基本功】 前端安全系列之二:如何防止CSRF攻击?
美团技术团队
10-11 3583
总第290篇2018年 第82篇当当当当,我是美团技术团队的程序员鼓励师美美~“基本功”专栏又来新文章了,本篇是我们前端安全系列文章的第二篇,主要聊聊前端开发过程中遇到的...
对laravel的csrf 防御机制详解,及form中csrf_token()的存在介绍
01-03
一、 什么是 CSRF ? CSRF是Cross Site Request Forgery的缩写,看起来和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF是伪造成合法用户发起请求。具体操作原理看google。。 二、Laravel的CSRF防御过程 Laravel 会自动在用户 session (根据session_id 关联确认属于谁) 生成存放一个随机令牌(token)放在session中,并且如果使用 Laravel 的 {{form::open}} 会自动隐藏存在 csrf_token(),如果需要写html form 则需要在表单中添加具体看下图
csrf防护机制
凉茶铺的博客
07-17 1990
CSRF(Cross-siterequestforgery),中文名称跨站请求伪造你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括个人隐私泄露以及财产安全。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如。...
WEB安全 | CSRF的原理及防御
weixin_42282189的博客
12-28 1198
作者: 1e0n 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x00 前言 之所以写CSRF是因为最近都是各种RCE,偶然看到CSRF,觉得大脑一片空白,于是赶紧恶补了一下,写下来也算是加深一下印象。话不多说,进入正题。WEB安全 | CSRF的原理及防御 1.CSRF的原理 2.CSRF简单实验 3.CSRF的防御 0x01 CSRF漏洞的原理 1.1 什么是CSRF? 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-cl.
跨站请求伪造-CSRF防护方法
hjjhce的博客
08-18 720
跨站请求伪造-CSRF防护方法                               CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 1 CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中We
Django框架学习16--csrf防御机制及原理
铁马冰河入梦来
12-20 1290
csrf攻击说明 1.用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3.用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 4.网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A; 5.浏览器在接收...
DjangoCSRF防御全过程解析以及中间件作用机制
Deft_MKJing的博客
05-21 2351
前言 XSS和CSRF攻击的基础原理这里就不介绍了,之前写了一篇文章单独介绍的很详细了,传送门,这里我们直接以Django为分析对象,分析中间件csrf生成原理以及防范Token如何运作的。 CSRF中间件 官方文档介绍的也是表面,本文通过源码层面直接分析流程 官方文档针对CSRF的介绍以及参数配置 传送门 Settings文件 Setting.py中有茫茫多的配置选项。传送门 Django全流程...
spring-security中的csrf防御机制
IT_LOSER的专栏
10-19 1603
目录(?)[+] 什么是csrfcsrf又称跨域请求伪造,攻击方通过伪造用户请求访问受信任站点。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而现在,
csrf攻击过程 csrf攻击说明 1.用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站
a280966503的博客
08-20 1974
csrf攻击过程 csrf攻击说明 1.用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3.用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 4.网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点
CSRF攻击防御原理
猪肉炖白菜
05-08 355
0×01 前言 因为现代浏览器的工作机制原因,造成一种WEB攻击形态的存在, 这种攻击形式叫做CSRF攻击,以往我们是从攻击角度分析这种攻击的原理和操作。这次我们给出攻击原理同时,给出CSRF在服务器端的防御的解决方案。 CSRF是现代WEB程序要面对的共通性问题,在很多流行的WEB框架中,都会将CSRF的问题直接在WEB框架层面解决。 我们先抛出CSRF这个问题,然后介绍基于时间与签名的防...
djangocsrf的实现机制
最新发布
06-10
DjangoCSRF机制的实现基于以下两个元素: 1. CSRF令牌:每个表单都会包含一个隐藏的CSRF令牌,这个令牌是服务器随机生成的,并且只能在表单提交时使用。在表单提交时,这个令牌会被发送到服务器,并且服务器会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值