django csrf机制

最新推荐文章于 2022-03-02 19:31:38 发布
最新推荐文章于 2022-03-02 19:31:38 发布
阅读量150 收藏 1
点赞数
分类专栏: django 文章标签: django csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42948748/article/details/87897384
版权

看了很多网上的csrf机制的文章,我觉得百分之99解释的都是错误的。

错误说法1:CsrfViewMiddleware中间件会把form表单的csrfmiddlewaretoken值与cookie的csrftoken字段值作比较,如果一样就表示合法。

what???我试验了一下,我不断地刷新带有form表单的页面,发现cookie的csrftoken在一段时间内并不会变,而表单的csrfmiddlewaretoken会发生变化,而且他俩的值根本不相等,这表名同一个csrftoken可以跟不同的csrfmiddlewaretoken完成合法提交。

错误说法2:django会把csrftoken的值存储到后台,当前台提交时,django会把这个值拿来跟表单中的值作比较,相同即合法。

这更不可能,django中根本没有这张表的存在。

个人觉得比较正确的说法是,CsrfViewMiddleware中间件会把form表单的csrfmiddlewaretoken值与cookie的csrftoken字段值送入一个函数,在函数中会对两个字符串做一些操作(由于我没太过仔细的研究中间件源码,只能把大概思想说出来),用一些的算法做一些计算来得出是否合法。

下面这篇文章的老哥说的不错,但是难度较大,可以细细品味
https://blog.csdn.net/qq_27952549/article/details/82392790

武铜贺
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django csrf 验证问题的实现
09-20
csrf是通过伪装来自受信任用户的请求来利用受信任的网站。这篇文章主要介绍了Django csrf 验证问题的实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
DjangoCSRF 保护机制
weixin_34348174的博客
12-02 195
django 有多久,我跟 csrf 这个概念打交道就有久了。 每次初始化一个项目时都能看到 django.middleware.csrf.CsrfViewMiddleware 这个间件 每次在模板里写 form 时都知道要加一个 {% csrf_token %} tag 每次发 ajax POST 请求,都需要加一个 X_CSRFTOKEN 的 header 但是一直我都是...
DjangoCSRF 机制
十年饮冰,难凉热血
11-18 294
在理解DjangoCSRF机制前,可以先补一补基础知识 官网对于CSRF的说明 pythenweb 开发csrf机制 CSRF全称 Cross-site request forgery (CSRF) 很简单的一个知识点,就是一个跨站请求伪造保护,看一下官网对于CSRF的说明和csrf机制两篇文章对CSRF机制有个初步理解。 实战 CSRF机制的载体Django自带的间件 知识点部...
DjangoCSRF防护原理及使用
逸尘的专栏
05-29 4891
django为用户实现防止跨站请求伪造的功能,通过间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django设置防跨站请求伪造功能有分为全局和局部。全局:间件 django.middleware.csrf.CsrfViewMiddleware局部:@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings
详解DjangoCSRF认证实现
zcg359670476的博客
12-16 309
什么是 CSRF CSRF, Cross Site Request Forgery, 跨站点伪造请求。举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。 1.csrf原理 csrf要求发送post,put...
django 取消csrf限制的实例
09-17
主要介绍了django 取消csrf限制的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
vue-resource post数据时碰到Django csrf问题的解决
10-15
主要介绍了vue-resource post数据时碰到Django csrf问题的解决,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Django CSRF认证的几种解决方案
09-17
主要介绍了Django CSRF认证的几种解决方案,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Django csrf 两种方法设置form的实例
09-19
今天小编就为大家分享一篇Django csrf 两种方法设置form的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Django csrf 的实现机制?
m0_56477185的博客
03-02 460
Django预防CSRF攻击的方法是在用户提交的表单加入一个csrftoken的隐含值,这个值和服务器保存的csrftoken的值相同,这样做的原理如下: 1、在用户访问django的可信站点时,django反馈给用户的表单有一个隐含字段csrftoken,这个值是在服务器端随机生成的,每一次提交表单都会生成不同的值 2、当用户提交django的表单时,服务器校验这个表单的csrftoken是否和自己保存的一致,来判断用户的合法性 3、当用户被csrf攻击从其他站点发送精心编制的攻击请求时,由于
Django提交表单出错”django, CSRF token missing or incorrect”
JasonZhou89
08-03 9479
有学习django表单,碰到"CSRF token missing or incorrect."问题。 寻找解决方法如下:(已验证确实可行) 现象: Forbidden (403) CSRF verification failed. Request aborted. Help Reason given for failure: CSRF token missing or in
django migrate失败常见错误:ValueError: Related model u'app.model' cannot be resolved
weixin_42948748的博客
04-27 4562
在migrate生成表的时候往往会出现Related model u’app.model’ cannot be resolved的问题,这种问题往往出现在有各种的外键关系的数据表。 在我们makemigrations时,在我们app 下会生成migrations/000nxxx.py文件,记载着我们每次改动models的记录,如果我们所写的model是带有外键的时候,文件会写入其依赖表,如图 文...
django query查询 objects.values() vs objects.values_list()
weixin_42948748的博客
07-08 3442
values()方法返回包含字典的QuerySet: <QuerySet [{‘comment’: 1}, {‘comment’: 2}]> 该values_list()方法返回一个包含元组的QuerySet: <QuerySet [(1,), (2,)]> 如果你使用values_list()单个字段,则可以使用flat=True返回单个值的QuerySet而不是1个元组...
django ORM查询的性能真的不太行吗?
weixin_42948748的博客
08-01 1475
以前在django使用orm查询时总会想到这么一个问题,就是他查询的效率是不是有些差,但是最近的一个情景解决了我的疑惑 先随便举个例子: users = User.objects.all()[0] 一句很普通的orm查询语句,意为查找一个用户,我以前总是会想,按照语法来看,django是不是先查询所有的用户,将所有的query加载在内存再,然后取第一条给我吗。 直到最近在做项目的时候才发现事...
djcelery无法取消定时任务的问题
weixin_42948748的博客
05-28 987
今天在django下使用celery,为了配置方便,直接使用了djcelery,写了一些定时任务也没问题,不过运到一个比较奇怪的现象,就是我在配置文件把定时任务注释掉了,他还是会执行,通过查看文档还有其他途径,发现djcelery是先把配置文件的定时任务写入数据库,在运行celery时,他会直接去数据库拿,而不是找配置文件。把配置文件注释掉,djcelery会认为没有对这个定时任务做修改,所...
django sql查询优化之 select_related()
weixin_42948748的博客
07-29 937
在使用ORM时,难免会遇到sql的性能问题,今天分享给大家一个可以优化sql的技巧,使用django提供的select_related 功能做优化 class Question(models.Model): """ 问题表 """ user = models.ForeignKey(User,related_name="question",on_delete=mod...
django contenttype完成大量外键的操作
weixin_42948748的博客
07-06 232
在某些场景下我们需要对一张表设置很多的同类型外键,例如现在有几张表,article,news,question三张表,我们根据产品需要,需要再为这三张表设置一个comment(评论表),普通的的策略是在comment设置三个外键指向之前的三张表,这就引发了一些问题, class Article(models.Model): body = models.CharField(max_length=...
djangocsrf的实现机制
最新发布
06-10
DjangoCSRF(Cross-Site Request Forgery)机制可以防止跨站点请求伪造攻击。DjangoCSRF机制的实现基于以下两个元素: 1. CSRF令牌:每个表单都会包含一个隐藏的CSRF令牌,这个令牌是服务器随机生成的,并且只能在表单提交时使用。在表单提交时,这个令牌会被发送到服务器,并且服务器会验证这个令牌是否有效,如果无效则拒绝请求。 2. CSRF间件:Django内置了一个CSRF间件,该间件会在每个POST请求验证CSRF令牌的有效性。如果CSRF令牌无效,则会抛出一个异常,拒绝请求。在使用Django的Form表单和Ajax请求时,这个间件会自动加入CSRF令牌。 具体来说,DjangoCSRF机制的实现过程如下: 1. 当用户访问包含表单的页面时,服务器会生成一个CSRF令牌,并将其存储在用户的会话。 2. 当用户提交表单时,CSRF令牌会随表单一起提交到服务器。 3. 服务器在接收到表单请求时,会验证CSRF令牌的有效性。如果令牌无效,则拒绝请求。 4. 验证成功后,服务器会处理表单数据,并返回响应。 需要注意的是,在使用Ajax请求时,CSRF令牌需要手动添加到请求的头部。可以通过Django提供csrftoken模板标签来获取CSRF令牌,并将其添加到请求头部

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值