Django 模板继承csrfToken原理

最新推荐文章于 2023-09-03 12:00:33 发布
最新推荐文章于 2023-09-03 12:00:33 发布
阅读量190 收藏
点赞数
分类专栏: # Django 文章标签: csrf Django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42881588/article/details/102821113
版权

csrf(Cross Site Request Frogery 跨站请求伪造)

跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。

Django的解决方法

Django预防csrf攻击的方法是在用户的表单中加入一个csrftoken的隐含值(隐藏的from表单),这个值和服务器中保存的csrftoken的值相同,这样做的原理如下:
1、在用户访问django的可信站点时,django反馈给用户的表单中有一个隐含 字段csrftoken,这个值是在发服务器端随机生成的,每一次提交表单都会生成不同的值。
2、当用户提交django表单时,服务器效验这个表单的csrftoken是否与自己保存的一致,来判断用户的合法性。
3、当用户被csrf攻击从其他站点发送精心编制的攻击请求时,由于其他站点不可能知道隐藏对csrftoken字段信息这样在服务端就会效验失败,攻击被成功防御。

Django 防攻击策略

1、不推荐禁用掉django中的CSRF
2、我们可以在html页面的from表单中添加scrf_token,带着表单的请求一起发送到服务器去验证。

	<from action method="post">
        {% csrf_token %}
        ...
    </from>

3、在后端一定要使用render()的方法返回数据
return render(request, ‘index.html’, {‘hello’: ‘123’})

全局
中间件: ‘django.middleware.csrf.CsrfViewMiddleware’

局部
@csrf_protect , 为当前函数强制设置防跨站请求伪造,几十settings中没有设置中间件。

@csrf_exemp  取消当前函数防跨站伪造功能,即使settings中设置了全局中间件。
黑色小米粥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决Django提交表单报错:CSRF token missing or incorrect的问题
12-20
2. **添加CSRF令牌到表单**:在每一个POST表单中,都需要包含`{% csrf_token %}`模板标签,这样Django才会自动插入当前的CSRF令牌,供服务器验证。 3. **检查Cookie设置**:确保用户的浏览器允许接收和发送Cookie。...
Spring gateway配置Spring Security实现统一权限验证与授权
热门推荐
王广帅--游戏开发技术
12-02 2万+
在使用Spring Cloud 进行微服务,分布式开发时,网关是请求的第一入口,所以一般把客户端请求的权限验证统一放在网关进行认证与鉴权。因为Spring Cloud Gateway使用是基于WebFlux与Netty开发的,所以与传统的Servlet方式不同。而且网关一般不会直接请求数据库,不提供用户管理服务,所以如果想在网关处进行登陆验证与授权就需要做一些额外的开发了。 需求设求 众所周知,一...
spring security POST请求 报403 Forbidden
爱上编程2705
10-22 2970
spring security POST请求 报403 Forbidden Security配置代码: @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { /** * 配置不需要验证 * @param http * @throws Exception */ @Override protected
SpringBoot:集成SpringSecurity
一条没有梦想的闲鱼的博客
12-04 1486
在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应用的开发过程中。 Spring Sec
Spring Security安全框架
weixin_66307949的博客
08-02 1591
创建配置:webSecurityConfigureAdapter(去继承它)(1)查询username、password、validate(用户是否有效)config(HttpSecuritr http):设置访问控制。(2)查询username、authority(权限)布尔型的字段:用户是否有效。启动项目,自定义进行安全管理(默认的安全管理模式)密码:必须进行加密操作。授权:确定用户的权限,对用户权限进行管理。认证:确认用户是否登录,对登录进行管控。创建工具(config层)......
Spring Security 替换WebSecurityConfigurerAdapter (Deprecated)的方法
allway2的博客
11-10 1万+
在本文中,我将提供一个解决方案来配置Spring 安全性,而无需 WebSecurityConfigurerAdapter 。在上面的例子中,我们遵循最佳实践,使用 Spring Security lambda DSL 和方法。我们创建了一个Spring Java配置,它扩展了。进行 Spring 安全配置,稍后我们将看到如何将此安全配置迁移到基于组件的方法。的 JWT 配置,稍后我们将看到如何将此安全配置迁移到基于组件的方法。已被弃用,Spring 团队鼓励用户转向基于组件的安全配置。
django中使用post方法时,需要增加csrftoken的例子
09-17
Django框架中,为了确保Web应用的安全性,防止CSRF(Cross-site request forgery)攻击,开发者需要在处理POST请求时添加一个名为`csrftoken`的令牌。CSRF攻击是一种恶意用户在用户浏览器中利用已登录用户的权限...
Django模板继承 extend标签实例代码详解
10-16
Django模板继承是其模板系统的一个核心特性,它允许开发者定义一个基础模板,然后其他模板可以基于这个基础模板进行扩展和定制。这种方式极大地提高了代码的重用性和可维护性,尤其是在大型项目中,能够保持界面的...
django-react-csrftoken:一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单
02-03
npm install --save django-react-csrftoken 用法 import React from 'react' ; import DjangoCSRFToken from 'django-react-csrftoken' class MyLoginForm extends React . Component { render ( ) { return ( ...
spring security的基本应用
tianlong1569的专栏
08-31 922
一、 基本配置 配置在系统中使用SpringSecurity,需要在pom.xml中加入spring-boot-starter-security依赖 代码如下 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 然后新建一个
Spring Security 配置笔记
山河已无恙
02-16 1555
新建项目,导入依赖 package com.liruilong; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RestController; /** * @Description : security学...
springboot整合SpringSecurity
最新发布
qq_53374893的博客
09-03 450
终极配置:绑定自己的登录页面。他其实把数据提交给安全框架,用name绑定,然后提交的时候把表达绑定给security框架的内置网页,让他进行验证。<i class="sign-out icon"></i> 注销。springsecurity整合thymeleaf。//开启记住我功能 cookie,默认保存两周。权限控制管理,让用户登录显示用户信息。给这个访问路径,加上角色权限。加了登录验证与角色授予。
springsecurity oauth2.0 spring mvc集成spring security 3
健康平安的活着的专栏
07-31 3642
一 spring security spring security是一个封装比较完整安全的认证授权框架。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码的工作。 ...
Spring Security认证授权-权限验证使用教程(二)
Jokers_lin的博客
05-12 1916
Spring Security认证授权-权限验证使用教程(二)
spring-boot集成WebSecurity
zhaoyahui_666的博客
12-13 744
一、注入依赖 org.springframework.boot spring-boot-starter-security 二、编写配置 import org.springframework.context.annotation.Configuration; import org.springframewo
SpringBoot整合SpringSecurity
yj123ab的博客
01-24 1017
搭建完SpringBoot项目后导入依赖 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-test</artifactId> <version>5.4.2</version> <scope&g
万字长文,SpringSecurity
mySoul
06-30 1025
思维导图如下 RBAC权限分析 RBAC 全称为基于角色的权限控制,本段将会从什么是RBAC,模型分,什么是权限,用户组的使用,实例分析等几个方面阐述RBAC 思维导图 绘制思维导图如下 什么是RBAC RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限,如下图所示 对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进
SpringSecurity
weixin_66822145的博客
05-23 1904
Spring Security是基于Spring的安全框架,它提供了一种声明式的安全访问控制解决方案。它提供了包括身份验证、授权、运行时访问控制、单点登录、注销等功能。Spring Security提供了许多集成选项,包括集成WebMVC、REST、SOAP等应用程序,也支持和Spring Boot等常见框架进行集成。Spring Security的核心原则是基于过滤器链(FilterChain)来实施安全策略。
Spring Boot 安全管理
weixin_68651384的博客
06-14 1187
针对项⽬的安全管理,Spring家族提供了安全框架Spring Security,它是⼀个基于Spring⽣态圈的,⽤于提供安全 访问控制解决⽅案的框架。为了⽅便Spring Boot项⽬的安全管理,Spring Boot对Spring Security安全框架进⾏了 整合⽀持,并提供了通⽤的⾃动化配置,从⽽实现了Spring Security安全框架中包含的多数安全管理功能,下⾯针 对常⻅的安全管理功能进⾏介绍,具体如下。
python django 3.2.9 from csrf token missing or incorrect.
09-01
可以使用Django提供的模板标签`{% csrf_token %}`在表单中添加CSRF令牌字段,例如`<form>{% csrf_token %}</form>`。 2. 确保在请求中正确传递了CSRF令牌。可以通过在POST请求中包含`csrfmiddlewaretoken`参数,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值