Django csrf 跨站请求伪造

最新推荐文章于 2024-08-30 00:00:00 发布
置顶 最新推荐文章于 2024-08-30 00:00:00 发布
阅读量66 收藏
点赞数
分类专栏: django 文章标签: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42553238/article/details/115173790
版权

一共有三个地方管着呢:

settings.py

'django.middleware.csrf.CsrfViewMiddleware',

html

{% csrf_token %}
如果是 $ajax 也得携带 csrfmiddlewaretoken

views.py

from django.views.decorators.csrf import csrf_exempt, csrf_protect
@csrf_exempt
@csrf_protect

使用情况:

  1. 正常开启 CSRF 防护

    • settings.py 设置不变
    • html 增加 {% csrf_token %}

  2. 取消表单 CSRF 防护

    • html 删除 {% csrf_token %}
    • views 增加 @csrf_exempt

  3. 取消整个网站 CSRF 防护

    • settings.py 删除 django.middleware.csrf.CsrfViewMiddleware
    • html 删除 {% csrf_token %}

  4. 单独增加 CSRF 防护(settings.py 已注释 CsrfViewMiddleware)

    • html 增加 {% csrf_token %}
    • views 增加 @csrf_protect

  5. 当网页使用 Ajax 提交表单时,若需要开启 CSRF 防护,则需要携带 csrfmiddlewaretoken

<script>
function submitForm(){
    var csrf = $('input[name="csrfmiddlewaretoken"]').val();
    var user = $('#username').val();
    var password = $('#password').val();
    $.ajax({
        url: '/index.html',
        type: 'POST',
        data: {'user': user,
               'password': password,
               'csrfmiddlewaretoken': csrf},
        success: function(arg){
            console.log(arg);
        }
    })
}
</script>
Swotpp
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF 跨站请求伪造
bazzza的博客
12-29 383
文章目录CSRF 跨站请求伪造一、CSRF原理二、CSRF分类Get型Post型链接类型三、CSRF危害四、防御手段五、CSRF与XSS的区别CSRF本地漏洞复现一、有token复现失败的情况二、漏洞存在-csrf成功复现 CSRF 跨站请求伪造 一、CSRF原理 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的
CSRF跨站请求伪造
m0_73170217的博客
02-02 531
csrf漏洞的产生原理及危害、利用方法和防御手段
Django中间件之csrf跨站请求伪造
weixin_46407419的博客
03-10 308
csrf跨站请求伪造 CSRF(Cross Site Request Forgery) 跨站请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。如果从名字你还不不知道它表示什么,你可以这样理解:攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私...
CSRF(跨站请求伪造)
alenzzzhang
09-27 199
Csrf CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本XSS,但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大...
Django CSRF跨站请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A...
Django中如何防范CSRF跨站请求伪造攻击的实现
09-19
CSRF(Cross-Site Request Forgery,跨站请求伪造),是一种常见的安全攻击手段。在这种攻击中,攻击者利用受害者的身份(通常是通过受害者已登录状态下的Cookies)发起恶意请求。这些请求对于服务器而言是合法的,...
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
Django的Form和ModeForm的作用
sheji888的专栏
08-29 496
使用Form时,你需要手动定义所有表单字段,适用于非模型数据或需要高度自定义表单的场景。使用ModelForm时,表单字段根据模型自动生成,适用于与数据库模型紧密相关的表单,可以大幅减少代码量并提高开发效率。在大多数情况下,如果你的表单数据需要直接映射到数据库模型,使用ModelForm是更合适的选择。如果表单数据与模型不直接相关,或者需要更复杂的自定义,那么使用Form可能更为合适。
django(二):第一个项目
core815的专栏
08-29 163
django(二):第一个项目
计算机毕业设计PySpark+Django考研分数线预测 考研院校推荐系统 考研推荐系统 考研爬虫 考研大数据 Hadoop 大数据毕设 机器学习 深度学习
最新发布
从业计算机毕业设计10年,打算用一年时间分享10年毕设经验!
08-30 155
计算机毕业设计PySpark+Django考研分数线预测 考研院校推荐系统 考研推荐系统 考研爬虫 考研大数据 Hadoop 大数据毕设 机器学习 深度学习
Django缓存设置
sheji888的专栏
08-26 316
Django中设置缓存可以显著提高网站的性能,特别是在处理大量请求或数据库查询时。Django支持多种缓存后端,包括内存缓存、文件缓存、数据库缓存和更高级的选项如Memcached和Redis。
djangocsrf 的实现机制
sheji888的专栏
08-26 632
DjangoCSRF 实现机制依赖于为每个用户会话生成唯一的 CSRF token,并通过多种方式(如 cookie、模板标签和请求头)将这个 token 传递给前端页面。当表单提交时,Django 会验证请求中的 CSRF token 是否有效,从而保护网站免受 CSRF 攻击。
Python网络编程:Web框架基础(Flask/Django
互联网架构小马的博客
08-21 1178
通过本文的介绍,我们了解了Flask和Django两个流行的Python Web框架的基础知识。Flask作为一个轻量级框架,适合中小型项目,具有较高的灵活性。Django作为一个功能全面的框架,适合大型复杂项目,内置了丰富的功能。通过综合示例,我们展示了如何使用这两个框架构建Web应用,希望读者能够根据自己的需求选择合适的框架,并在实际项目中加以应用。
Django后端架构开发:Nginx服务优化实践
weixin_52392194的博客
08-26 1194
Master进程:负责读取和评估配置文件,并管理子进程。Master进程是整个Nginx服务器的控制中心,负责接收外部信号、重新加载配置、启动和停止子进程等操作。Worker进程:实际处理客户端请求的进程。Nginx的多进程架构使其能够充分利用多核CPU的优势,每个Worker进程独立处理请求,确保高效的并发处理能力。
django(一):项目搭建
core815的专栏
08-29 186
django(一):项目搭建
VLC播放器安装文件-rtsp
08-29
播放流媒体资源
python爬虫学习,爬了乐高官网的说明书,给自己写点用得上的东西.zip
08-29
python爬虫学习,爬了乐高官网的说明书,给自己写点用得上的东西
rbac权限管理系统.zip
08-29
rbac权限管理系统
Django中的CSRF(跨站请求伪造)
05-21
Django中的CSRF是一种安全机制,可以防止跨站请求伪造攻击。在Django中,默认情况下,所有的POST、PUT、DELETE请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。 具体来说,Django在生成表单时会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值