java csrf 跨域_CSRF-跨域访问保护

最新推荐文章于 2024-03-17 16:33:20 发布
最新推荐文章于 2024-03-17 16:33:20 发布
阅读量152 收藏
点赞数
文章标签: java csrf 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42390873/article/details/114514470
版权

CSRF跨域访问保护

当我们打开此功能时,在提交时就会报错,此时解决方法有

1.浏览器支持cookie

2.有render方法

3.在提交的表单中加入{% csrf_token%},为了生成随机值。

现在我们就以第三种为例,就可以解决此类问题了

8f900a89c6347c561fdf2122f13be562.png

961ddebeb323a10fe0623af514929fc1.png

1 {% extends "index.html" %}2

3 {% block extra-head-resources %}4

5

6 {% endblock %}7

8 {% block container %}9

10

11

12

{% csrf_token %}13

14 {% for field in form %}15

16 {{ field.name }}

17

18 {{ field }}19 {{ field.errors }}

20

21

22

23 {% endfor %}24

25

26

27

28

29

30 // Replace the with a CKEditor31 //instance, using default configuration.32 CKEDITOR.replace( 'id_body');33

34

35

36 {% endblock %}

new_article.html

为了防止CSRF攻击,分辨来源,将随机值放在页面中,而不是放在POST请求中,这样就不会被恶意使用。

Middleware中间件

为了能使用户对django的request/response请求处理过程及请求数据包进行全局的更改,比如对所有的请求进行是否已登录的验证,是否有注入或其他攻击行为的检测等,django提供了一个轻量级、底层的钩子插件,就叫中间件。

MIDDLEWARE = [

'django.middleware.security.SecurityMiddleware',     进行一些请求的安全验证,xss攻击过滤,ssl重定向(自动重定向到https)

'django.contrib.sessions.middleware.SessionMiddleware',     启用对session的支持

'django.middleware.common.CommonMiddleware',             做一些常用的小功能,检测url,会自动把foo.com/bar,重定向程foo.com/bar/

'django.middleware.csrf.CsrfViewMiddleware',                     跨域请求保护

'django.contrib.auth.middleware.AuthenticationMiddleware',    认证

'django.contrib.messages.middleware.MessageMiddleware',      启用django自带的消息日志插件

'django.middleware.clickjacking.XFrameOptionsMiddleware',    点击劫持

]

自定义中间件

要在settings中,将自己创建的申明

8f900a89c6347c561fdf2122f13be562.png

961ddebeb323a10fe0623af514929fc1.png

1 MIDDLEWARE =[2 'django.middleware.security.SecurityMiddleware',3 'django.contrib.sessions.middleware.SessionMiddleware',4 'django.middleware.common.CommonMiddleware',5 'django.middleware.csrf.CsrfViewMiddleware',6 'django.contrib.auth.middleware.AuthenticationMiddleware',7 'django.contrib.messages.middleware.MessageMiddleware',8 'django.middleware.clickjacking.XFrameOptionsMiddleware',9 'bbs.test_middleware.SimpleMiddleware'

10 ]

settings

8f900a89c6347c561fdf2122f13be562.png

961ddebeb323a10fe0623af514929fc1.png

1 from django.shortcuts importrender,HttpResponse,redirect2 classSimpleMiddleware(object):3 def __init__(self, get_response):4 self.get_response =get_response5 #One-time configuration and initialization.

6

7

8 def __call__(self, request):9 #Code to be executed for each request before

10 #the view (and later middleware) are called.

11

12 response =self.get_response(request)13 print("middleware",response)14

15 #Code to be executed for each request/response after

16 #the view is called.

17

18 returnresponse19 defprocess_view(self,request,view_func,view_args,view_kwargs):20 print('process view',self,request,view_func,view_args,view_kwargs)21 defprocess_exception(self,request,exception):22 print('process excetion',request,exception)23 return HttpResponse('error happend....%s' %exception)24

25 defprocess_template_reponse(self,request,response):26 print('process_template_reponse',request,response)

View Code

独孤小白兔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java代码审计之CSRF漏洞详解
悦分享
01-23 237
CSRF是指利用受害者尚未失效的身份认证信息( cookie、会话等信息),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求,从而完成非法操作(如转账、改密、信息修改等操作)。攻击者盗用了你的身份伪造一个请求,用户一旦点击了这个请求,整个攻击也就完成了。CSRF通常的攻击方式:以你的名义发送邮件、消息、购买商品、转账、盗取账号信息等。name=victim&sex=男&phone=xxx&emial=xxx&money=100。
Django请求CSRF的方法示例
01-20
web请求 1.为什么要有限制 举个例子: 1.用户登录了自己的银行页面 http://mybank.com,http://mybank.com向用户的cookie中添加用户标识。 2.用户浏览了恶意页面 http://evil.com。执行了页面中的恶意AJAX...
java csrf_Java解决CSRF问题
weixin_42512246的博客
02-12 1330
CSRF是什么?CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF可以做什么?你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账....
java判断用户是否在某一个区登录_Java安全编码之CSRF
weixin_40002238的博客
12-02 254
此文章为该系列的第二篇。上一篇:Java安全编码之sql注入。简介CSRF攻击者可以利用该漏洞诱使用户执行他们不打算执行的操作。它允许攻击者从不同网站上攻击某一网站的某一用户。使他们执行一些非预期的操作。在这里实验的是我们登陆后,通过CSRF漏洞来修改用户的手机号。框架此次我们使用SpringBoot作为基础框架,登录框架采用shiro。这里没有具体的dao层配置说明SpringBoot...
Java代码审计安全篇-CSRF漏洞
最新发布
m0_63138919的博客
03-17 1237
本文章参考qax的网络安全java代码审计和部分师傅审计思路以及webgoat靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
xss攻击和csrf攻击的定义及区别
weixin_33841503的博客
04-22 354
1.CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):站请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2.CSRF的攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网站A,并在本地生成Coo...
Web高级知识-&XSS;&CSRF;解决方案
11-26
问题及其解决方案】是由于浏览器的安全策略限制,不同源的资源不能通过Ajax请求相互访问。解决方案包括:CORS(源资源共享),通过设置服务器响应头允许特定来源的请求;JSONP(JSON with Padding),...
allow-cors-access-control插件,解决问题,内含使用教程
10-03
在互联网开发过程中,(Cross-Origin)是一个常见的问题,特别是在进行本地开发或者API测试时。限制是浏览器为了安全而实施的一项策略,防止恶意网站通过JavaScript获取其他网站的数据。然而,这在某些场景...
Django中针对基于类的视图添加csrf_exempt实例代码
12-25
在Django中对于基于函数的视图我们可以 @csrf_exempt 注解来标识一个视图可以被访问。那么对于基于类的视图,我们应该怎么办呢? 简单来说可以有两种访问来解决 方法一 在类的 dispatch 方法上使用 @csrf_exempt...
基于JSP的Java Web项目的CSRF防御示例
oscar999的专栏
01-07 889
本篇使用 JSP+Servlet 演示一个最简单CSRF的攻防示例。
不安全的http方法、CSRF等漏洞修复问题
01-07
不安全的http方法、CSRF漏洞修复问题
webcsrf攻击的应对之道
02-03
应对web应用中的CSRF攻击的对应之策
Java Web 安全:防御 XSS, CSRF 与 SQL 注入的最佳策略
m0_57781768的博客
09-28 658
在我们探讨解决方案之前,首先了解一下常见的 Web 攻击有哪些是非常重要的。Web 攻击通常是指攻击者试图在 Web 应用程序中执行未授权的行为的行动。常见的 Web 攻击有:XSS(站脚本攻击)、CSRF站请求伪造)和 SQL 注入。
java csrf解决方案_Java 安全之:csrf防护实战分析
weixin_39569753的博客
02-16 1058
上文总结了csrf攻击以及一些常用的防护方式,csrf全称Cross-site request forgery(站请求伪造),是一类利用信任用户已经获取的注册凭证,绕过后台用户验证,向被攻击网站发送未被用户授权的站请求以对被攻击网站执行某项操作的一种恶意攻击方式。上面的定义比较抽象,我们先来举一个简单的例子来详细解释一下csrf攻击,帮助理解。假设你通过电脑登录银行网站进行转账,一般这类转账页...
java csrf _CSRF请求伪造)
weixin_31212247的博客
02-17 524
释意:站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。你这可以这么理解CSRF攻击:攻击者盗用...
java csrf解决方案_CSRF的几种防御方法的利弊分析
weixin_42303285的博客
02-16 1046
本文直接从防御方式开始讨论,防御CSRF有4种方法:使用POST替代GET检验HTTP Referer验证码Token使用POST替代GET一些程序员在开发的时候都是用GET、POST通用的函数来接收客户端的数据,这样也是某些接口有CSRF的原因之一,但是将全部接口都改成只允许POST方式访问,就能防范CSRF了吗?答案是:不能。只能说提高了一些成本。原本是GET方式访问的接口,攻击者只需要构造接...
java csrf解决方案_从Java的角度修复CSRF漏洞
weixin_39762441的博客
02-13 1155
漏洞挖掘中,说实话挖过最多的漏洞就属CSRF漏洞了,提交CSRF漏洞很多次,绕过CSRF防御进行攻击也有很多次。CSRF漏洞是一个很容易引发的问题,今天我从Java的角度来说下这个安全漏洞的修复方案。这里不谈挖掘方式,只谈修复方案。很多时候你很熟悉一种安全漏洞,但是涉及到的修复方案你只能大概讲下,具体到代码层你就束手无策了,这不是个优秀的白帽子行为。CSRF一般有两种修复方案1.加随机性token...
关于csrf 的那些小事
m0_59598029的博客
02-02 372
在这段时间,部门前辈分享了不少干货。我学到了不少内容,并对其进行简单整理,以便更好地转化为自己的知识。
CSRF攻击及预防
song_myth的博客
08-11 779
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状   C
java cookie_请求传递Cookie问题
06-11
// 设置允许访问名 response.setHeader("Access-Control-Allow-Origin", "http://www.example.com"); // 允许携带 Cookie response.setHeader("Access-Control-Allow-Credentials", "true"); // 获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值