第八章 Django CSRF防护

最新推荐文章于 2024-05-07 18:57:51 发布
最新推荐文章于 2024-05-07 18:57:51 发布
阅读量1.4k 收藏 16
点赞数 25
分类专栏: Django 3.x web开发 文章标签: django python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42434700/article/details/135003730
版权

第一章 Django 基本使用
第二章 Django URL路由系统
第三章 Django 视图系统
第四章 Django 模板系统
第五章 Django 数据模型系统(基本使用)
第六章 Django 数据模型系统(多表操作)
第七章 Django 用户认证与会话技术
第八章 Django CSRF防护

文章目录

CSRF介绍

CSRF,全称为Cross Site Request Forgery,中文名为跨站请求伪造,是一种网络攻击方式。具体来说,攻击者通过诱骗用户点击链接或执行操作,从而在用户不知情的情况下以用户的身份发起恶意请求。

在Django框架中,CSRF保护默认只针对POST请求,也就是说Django默认对GET请求不做CSRF防御机制。这是因为GET请求通常不会导致数据的修改,所以被认为是安全的。而POST、PUT和DELETE等请求可能会对服务器端的数据产生影响,因此需要进行CSRF防护。

为了防止CSRF攻击,Django提供了CSRF中间件,该中间件默认在MIDDLEWARE配置中被激活。服务端响应时会分配一个随机字符串给客户端,客户端第二次发送post,put或delete请求时携带上次分配的随机字符串到服务端进行校验。如果禁用了CSRF中间件,并不推荐这样做,因为这样会增加被CSRF攻击的风险。开发者可以根据需要选择使用csrf_protect()方法对特定视图进行保护。

工作原理

Django的CSRF保护工作原理基于以下几个步骤:

  1. 服务端响应时会分配一个随机字符串给客户端,这个字符串被称为CSRF token。
  2. 当用户提交表单(特别是POST、PUT或DELETE请求)时,客户端需要携带这个CSRF token。
  3. Django校验器会检查提交的token是否与服务端生成的token匹配。如果不匹配,则请求将被拒绝。
  4. CSRF cookie是一个随机的秘密值,其他网站无法访问。每当用户登录时,这个秘密值的值都会更改,这增加了系统的安全性。
  5. 为了防止跨站请求伪造攻击,Django中间件在每个响应中都使用一个名为’csrfmiddlewaretoken’的隐藏表单字段,出现在所有发送的POST表单中。每次调用 get_token() 时,都会随机生成一个掩码,因此表单字段的值每次都不同。
  6. 出于安全原因,这个字段的值不仅仅是秘密值,它在每个响应中都使用一个掩码进行不同方式的混淆。
  7. 关于浏览器发出的request,它会在request header的cookie中携带一个token,同时在request的body中也携带一个token。然后Django server提取request header cookie中的token和request body中的token进行比较,如果这两个Token相同,那么请求就会被接受。

如何配置

Django的CSRF防护机制主要通过以下几种方式实现:

  1. 中间件保护:Django的CSRF中间件默认在MIDDLEWARE配置中被激活,对POST、PUT和DELETE等请求进行CSRF防护。如果你修改了这个配置,需要保证’django.middleware.csrf.CsrfViewMiddleware’中间件在任何其他处理CSRF的视图中间件之前。如果禁用了CSRF中间件,是不安全的。
  2. CSRFToken机制:Django使用CSRFToken机制来防止一个站点被另一个站点伪造数据提交的攻击。服务端响应时会分配一个随机字符串给客户端,这个字符串被称为CSRF token。当用户提交表单(特别是POST、PUT或DELETE请求)时,客户端需要携带这个CSRF token。Django校验器会检查提交的token是否与服务端生成的token匹配。如果不匹配,则请求将被拒绝。
  3. csrf_protect()函数:csrf_protect()函数可以手动用于一些特殊情况下的CSRF保护,例如提交的数据不是由Django生成的,或者使用了第三方库。该函数会在视图函数被调用前验证请求,确保请求是合法的。如果请求中不包含有效的CSRF token,那么会返回403错误。
  4. Cookie保护:CSRF cookie是一个随机的秘密值,其他网站无法访问。每当用户登录时,这个秘密值的值都会更改,这增加了系统的安全性。
  5. 隐藏表单字段:为了防止跨站请求伪造攻击,Django中间件在每个响应中都使用一个名为’csrfmiddlewaretoken’的隐藏表单字段,出现在所有发送的POST表单中。每次调用 get_token() 时,都会随机生成一个掩码,因此表单字段的值每次都不同。

准备工作

# orm/setting.py
MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',  # 打开这一行
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

image-20231205111759411

方法一

路由

# myorm/urls.py
from django.urls import include, path, re_path
from myorm import views
urlpatterns = [
    path('login/', views.login, name='login'),
    path('home_page/', views.home_page, name='home_page'),
    path('logout/', views.logout, name='logout'),
]

视图

# myorm/views.py
from django.shortcuts import render, get_object_or_404,redirect,HttpResponse
from .models import Course, Student
from django.contrib import auth
from django.contrib.auth.decorators import login_required


# 定义一个装饰器
def self_login_required(func):
    def inner(request):
        is_login = request.session.get('is_login', False)
        if not is_login:
            return redirect(login)
        else:
            return func(request)
    return inner

@self_login_required
def home_page(request):
    return render(request,"home_page.html")

def login(request):
    if request.method == "GET":
        return render(request, "login.html")
    elif request.method == "POST":
        username = request.POST.get("username",None)
        password = request.POST.get("password",None)
        # 对用户数据验证
        user = User.objects.filter(user=username)
        if user:
            for i in user:
                passwd = i.password
            if password == passwd:
                # 验证通过后,将request与用户对象(包含session)传给login()函数
                request.session['is_login'] =True
                request.session['username'] = username
                # 跳转到http://49.232.221.200:8080/myorm/home_page
                return redirect("home_page")
            else:
                mag = '用户名密码错误'
        else:
            mag = '用户名密码错误'
        return render(request, "login.html",{'mag': mag})

def logout(request):
    # 清除当前用户的session信息
    auth.logout(request)
    return redirect('login')

网页

<!-- myrom/templates/login.html -->
<!DOCTYPE html>
<html lang="en">
    <head>
        <meta charset="UTF-8">
        <title>登录</title>
    </head>
    <body>
        <form action="" method="post">
            <h1>登录</h1>
            用户名:<input type="text" name="username"><br>
            密码:<input type="text" name="password"><br>
            <button type="submit">登录</button>
        </form><br>
        <span style="color: red;">{{ mag }}</span>
    </body>
</html>

<!-- myrom/templates/home_page.html -->
<!DOCTYPE html>
<html lang="en">
    <head>
        <meta charset="UTF-8">
        <title>标题</title>
    </head>
    <body>
        
        <h1>欢迎访问首页</h1>
        <a href="/myorm/logout">退出</a>
    </body>
</html>

验证

http://49.232.221.200:8080/myorm/login/

输入账户名密码点击登录报错

image-20231205111719071

{% csrf_token %} 增加这一行

<!-- myrom/templates/login.html -->
<!DOCTYPE html>
<html lang="en">
    <head>
        <meta charset="UTF-8">
        <title>登录</title>
    </head>
    <body>
        <form action="" method="post">
            {% csrf_token %} 
            <h1>登录</h1>
            用户名:<input type="text" name="username"><br>
            密码:<input type="text" name="password"><br>
            <button type="submit">登录</button>
        </form><br>
        <span style="color: red;">{{ mag }}</span>
    </body>
</html>

image-20231205111945870

可以进行登录,检查源码

image-20231205112018124

方法二

视图

视图增加csrf_exempt也可以跳过防护

# myorm/views.py
from django.shortcuts import render, get_object_or_404,redirect,HttpResponse
from .models import Course, Student
from django.contrib import auth
from django.contrib.auth.decorators import login_required
from django.views.decorators.csrf import csrf_exempt


# 定义一个装饰器
def self_login_required(func):
    def inner(request):
        is_login = request.session.get('is_login', False)
        if not is_login:
            return redirect(login)
        else:
            return func(request)
    return inner

@self_login_required
def home_page(request):
    return render(request,"home_page.html")

### 在这一进行添加然后跳过
@csrf_exempt
def login(request):
    if request.method == "GET":
        return render(request, "login.html")
    elif request.method == "POST":
        username = request.POST.get("username",None)
        password = request.POST.get("password",None)
        # 对用户数据验证
        user = User.objects.filter(user=username)
        if user:
            for i in user:
                passwd = i.password
            if password == passwd:
                # 验证通过后,将request与用户对象(包含session)传给login()函数
                request.session['is_login'] =True
                request.session['username'] = username
                # 跳转到http://49.232.221.200:8080/myorm/home_page
                return redirect("home_page")
            else:
                mag = '用户名密码错误'
        else:
            mag = '用户名密码错误'
        return render(request, "login.html",{'mag': mag})

def logout(request):
    # 清除当前用户的session信息
    auth.logout(request)
    return redirect('login')

方法三

这块不太清楚,也没有测试过,后续要是使用了,在进行更新

方法2:
var csrf_token = $("[name='csrfmiddlewaretoken']").val();
var data = {'id': '123', 'csrfmiddlewaretoken': csrf_token};
$.ajax({
type: "POST",
url: "/api",
data: data,
dataType: 'json'
})
XMYX-0
关注
  • 25
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Django CSRF跨站请求伪造防护过程解析
09-18
主要介绍了Django CSRF跨站请求伪造防护过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
django:跨域访问及CSRF防护
dangfulin的博客
09-17 673
一,什么是跨域访问? 二,django设置跨域访问 三,djangoCSRF防护
第八章 django
linjun的博客
11-28 954
WSGI,全称为 "Web Server Gateway Interface",是 Python Web 应用程序和Web 服务器之间的一种标准接口。它定义了 Web 服务器如何与 Python Web 应用程序进行通信的规范,使得开发者可以用相同的方式编写可在不同的 Web 服务器上运行的应用程序。WSGI 的核心思想是将 Web 服务器和应用程序分离,使得它们可以独立演进而互相之间无关。
csrf是什么? Djangocsrf的原理?
u011342224的博客
11-28 3337
CSRF攻击 CSRF(英语:Cross-site request forgery)是跨站请求伪造的缩写,也被称为XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,CSRF利用的是网站对用户网页浏览器的信任,。 举个栗子 受害者登录a.com,并保留了登录凭证(Cookie)。 攻击者引诱受害者访问了b.com。 b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cookie。 a.com接收到请求后,对请求进行验证,并
django csrfMiddleware的一些理解&跨站和跨域
General_zy的博客
11-05 616
但是需要注意的是,仅仅依靠跨域请求的限制是不够的,因为攻击者可能通过其他手段窃取到用户的Cookie信息,例如使用钓鱼网站欺骗用户输入用户名和密码等敏感信息,从而获取用户的Cookie。但是需要注意的是,这种限制仅仅是在浏览器层面上生效的,如果攻击者使用其他方式(例如在服务器端发起跨域请求)绕过了浏览器的限制,则依然可能窃取到用户的Cookie信息,造成安全威胁。因此,在开发时应该采取多种措施,例如限制Cookie的作用域、使用安全的传输协议(如HTTPS)、对Cookie进行加密等,来保护用户的安全。
Django -CSRF漏洞
二进制杯莫停的博客
02-08 542
    跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 1 CSR...
第三章 Django 视图系统
XMYX-0
12-12 1095
Django视图视图 http sjprtcits voews cpmtron cpmf dn
第一章 Django基本使用
XMYX-0
12-11 1537
DjangoPython的一个主流Web框架,提供一站式解决方案,开发成本低,内建ORM、数据管理后台、登录认证、表单、RESTAPI等功能,适合开发中大型项目。
7.Django CSRF 中间件
weixin_30802273的博客
02-12 65
CSRF 1.概述   CSRF(Cross Site Request Forgery)跨站点伪造请求,举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。   为了避免上面情况的出现,Django引用了...
DjangoCSRF防护机制
weixin_30608131的博客
02-26 60
什么是CSRF?   CSRF(Cross-site request forgery), 中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF CSRF攻击过程      从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:     1、登陆受信任的网站A,并在本地客户端(浏览器)产生Cookie; ...
django框架CSRF防护原理与用法分析
09-19
主要介绍了django框架CSRF防护原理与用法,结合实例形式分析了Django框架CSRF防护的概念、原理、使用方法及相关操作注意事项,需要的朋友可以参考下
vue-resource post数据时碰到Django csrf问题的解决
10-15
主要介绍了vue-resource post数据时碰到Django csrf问题的解决,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Django中实现多用户角色和权限管理的方法
深入Odoo开发:打造高效、定制化的企业解决方案。
04-28 597
以上是一种实现多用户角色和权限管理的方法。在这个方法中,我们通过定义角色模型、用户模型和权限模型,以及创建角色和权限之间的多对多关系来管理用户角色和权限。同时,通过创建一个装饰器函数来验证用户是否具有执行某个操作所需的权限。在视图函数中使用该装饰器进行权限验证,可以确保只有具有相应权限的用户可以执行该操作。
如何创建一个 Django 应用并连接到数据库
rubys007的博客
05-03 502
Django 是一个用 Python 编写的免费开源的 Web 框架。这个工具支持可扩展性、可重用性和快速开发。在本教程中,您将学习如何为一个博客网站建立与 MySQL 数据库的初始基础。这将涉及使用创建博客 Web 应用程序的骨架结构,创建 MySQL 数据库,并将 Web 应用程序连接到数据库。Django 将为您提供一个开发环境,用于开发博客 Web 应用程序,但在将博客发布到互联网之前,您需要采取更多步骤。
APScheduler定时器使用【简易版】:django中使用apscheduler,使用mysql做存储后端
weixin_46371752的博客
05-01 969
APScheduler定时器使用,django使用APScheduler定时器,如何使用APSCheduler定时器,django如何集成APScheduler定时器
Django之单文件上传(以图片为例)
m0_62155641的博客
05-04 343
单文件上传<h2>单文件上传</h2><hr><p>用户名:<input type="text" name="uname"></p><p>头像:<input type="file" name="icon"></p><p><button>上传</button></p></form>
Django 4.x 智能分页get_elided_page_range
05-07 143
Django 4.x 智能分页,可跳转指定页码
Nginx+uwsgi+Django实现本地服务器部署发布
最新发布
生夏夏的博客
05-07 574
这个问题提示数据库密码错误,第一台本地服务器的MySQL版本是8,按道理我可以直接用mysql -uroot -p密码直接登录,应该是没有问题的。于是换一台安装MySQL5.7版本的服务器,因为我的django配置的数据库也是5.7。但还是出现同样的问题,可能大概率是配置的问题,只能用下面这种方法先执行一下,跳过数据库检查,可以连接成功。WSGI 服务器负责接收来自客户端的 HTTP 请求,并将这些请求传递给绑定的 Python Web 应用程序进行处理,然后将处理结果返回给客户端。
django CSRF verification failed. Request aborted.
06-15
这个错误通常是由于 DjangoCSRF 保护机制导致的。DjangoCSRF 保护是一种安全机制,用于防止恶意网站利用用户的身份在你的网站上执行一些操作。在 Django 中,当用户提交表单时,Django 会生成一个 CSRF 令牌...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

XMYX-0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值