django的signed_cookie

最新推荐文章于 2022-12-30 16:29:07 发布
最新推荐文章于 2022-12-30 16:29:07 发布
阅读量830 收藏 1
点赞数
分类专栏: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43976393/article/details/88959586
版权

signed_cookie 只是加了签名的 cookie, 而不是被加密的 cookie.在客户端还是可以看到没有加密的value的

signed_cookie 的作用是防止用户私自纂改.参考: Securing Web Cookies With Signatures

So once I’ve logged in, we set a username cookie containing “Michael Brunton-Spall”, or uid=1 or something.
The problem with this is that the user is in total control of this cookie

单纯的记录 uid 或者用户名在 cookie 中很容易被篡改(也是不建议将用户敏感信息记录在cookie中的原因), 万一攻击者把uid=1换成uid=2岂不是可以访问 uid=2用户的资源了吗? 而如果换成uid=2:1fPjh2:iQGDDYNcgSYkIFqa2ixqakj6-gI那么服务端不仅检验uid, 还检验uid=2后面的签名字段, 即是调用HttpRequest.get_signed_cookie(key=key, salt=salt), 这样即使用户把 cookie 中的 value 换成 uid=2, 但是没有签名, 服务端照样拒绝访问资源.

另外, Django 的 cookie 签名是用的Base64_with_hmac, 参考: Source code for django.core.signing

如果需要在 cookie 里设置被加密的 value, 需要自行对 value 进行加密(好像只能是对称加密), 比如使用hashlib.sha256{参考: hashlib — Secure hashes and message digests}:

>>> import hashlib
>>> hashlib.sha256(b"value").hexdigest()
'cd42404d52ad55ccfa9aca4adc828aa5800ad9d385a0671fbcbf724118320619'

说句题外话, 
对于 json 格式的字符串的加密, 目前推荐的方案是 JWT 规范, 参考: Introduction to JSON Web Tokens, 同样也是把信息暴露给了用户(但是一般的用户不能直接通过 token 看到信息, 需要稍加解密, 用户也不可能修改加密后的内容).
需要比较根本地防止中间人攻击, 加上 https 会是比较明智的选择.

月虹
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django-带签名的cookie
pyhui的技术博客
09-02 521
响应对象.set_signed_cookie 设置带签名的cookie 签名指的就是加密 》使用示例: 响应对象.set_signed_cookie(键,值,salt=盐) 请求对象.get_signed_cookie 演练 》视图函数1,写入带签名的cookie 》视图函数2,读取带签名的cookie ...
signedCookies
weixin_30632883的博客
03-06 243
var express = require('../') , request = require('supertest') , cookieParser = require('cookie-parser') describe('req', function(){ describe('.signedCookies', function(){ it('...
签名(signed)cookie和令牌(token)cookie
ahao214——Dreamspace
02-09 1339
对于用来登录的cookie,有两种常见的方式可以将登录信息存储在cookie里面:一种是签名(signed)cookie,另一种是令牌(token)cookie 签名cookie通常会存储用户名,可能还有用户ID、用户最后一次成功登录的时间,以及网站觉得有用的其他任何信息。 令牌cookie会在cookie里面存储一串随机字节作为令牌,服务器可以根据令牌在数据库中查找令牌的拥有者。 签名cookie 优点:验证cookie所需的一切信息都存储在cookie里面。cookie可以包含额外的信息(addit
django设置cookie
Auto
01-29 1906
文章目录Cookie#0 GitHub#1 环境#2 开始#2.1 存储#2.2 设置#2.3 加密 Cookie #0 GitHub https://github.com/Coxhuang/django-cookie.git #1 环境 Python3.6 Django==2.0.7 #2 开始 #2.1 存储 Cookie是将数据保存在用户的浏览器中,至于如何保存,不需要我们操作 #2.2...
Django框架全面讲解 -- Cookie
qq_34802511的博客
08-06 177
Django框架全面讲解 -- Cookie 1.获取Cookie: request.COOKIES['key'] request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None) 参数: default: 默认值 salt: 加密盐 max_ag...
公钥密钥理解,signed cookie
weixin_30892987的博客
11-18 407
公钥密钥理解,signed cookie 一、公钥密钥理解 公开密钥加密(英语:Public-key cryptography),也称为非对称加密(英语:asymmetric cryptography),是密码学的一种算法,它需要两个密钥,一个是公开密钥,另一个是私有密钥;一个用作加密的时...
Djangocookie的使用
10-19
此外,Django还提供了`get_signed_cookie`方法,用于安全地读取签名的Cookie,防止篡改: ```python v = request.get_signed_cookie(key='username111', default=None, salt='', max_age=None) ``` 这里的参数`...
Django Session和Cookie分别实现记住用户登录状态操作
09-16
2. 为了增加安全性,Django提供了`response.set_signed_cookie()`方法,它可以对Cookie值进行签名,防止篡改。需要提供一个盐(salt)参数,例如: ```python response.set_signed_cookie('login', 'yes', salt='SSS...
Python Django Cookie 简单用法解析
09-18
为了增强安全性,Django提供了`set_signed_cookie()`方法,它可以在设置Cookie时添加一个盐(salt)值进行签名,防止Cookie值被恶意修改。在`login`函数中,我们可以这样使用: ```python rep.set_signed_cookie(...
Django cookie 与 session
12-20
本文将深入探讨Django中的Cookie与Session,以及如何在实际应用中使用它们。 首先,Cookie是存储在客户端(用户浏览器)上的小数据块,通常用于存储用户的一些非敏感信息,如会话ID或者用户偏好。当用户访问网站时...
Django组件cookie与session的具体使用
09-19
Django中使用Session的配置需要在settings.py中设置SESSION_ENGINE和SESSION_COOKIE_AGE等参数。在视图函数中,可以通过`request.session`对象来读写Session数据。 总结一下,Django中的Cookie和Session都是用来...
Python Django 设置和获取Cookie代码示例
学亮编程手记
03-04 404
Error: cookieParser(“secret“) required for signed cookies
weixin_42427897的博客
12-11 1389
在express中使用加密cookie时在cookieParser中加入了app.use(cookieParser('xxx'));还是报错:Error: cookieParser("secret") required for signed cookies 如下图: ![在这里插入图片描述](https://img-blog.csdnimg.cn/20201211100008191.png) 出现原因: 以下为cookie封装的原生代码 在node_modules\express\lib\re
php domain cookie cross-domian,GitHub - MuYunyun/cross-domain: 跨域 demo 实验
weixin_30855745的博客
03-20 128
本文收录在 blog跨域是日常开发中经常开发中经常会接触到的一个重难点知识,何不总结实践一番,从此心中对之了无牵挂。同源策略之所以会出现跨域解决方案,是因为同源策略的限制。同源策略规定了如果两个 url 的协议、域名、端口中有任何一个不等,就认定它们跨源了。比如下列表格列出和 http://127.0.0.1:3000 比较的同源检测的结果,那跨源有什么后果呢?归纳有三:不能获取 Cookie、L...
Djangocookie详解与实战示例(其他篇三)
Burgess_zheng的博客
01-29 536
上一篇:Django之时间区问题(其他篇二)点击跳转 目录篇:Django之其他目录篇 点击跳转 下一篇:Django之分页(其他篇四)点击跳转 什么是cookie? 我们都知道:httm请求默认都是短链接,每发一次请求得到回复就就断开连接 浏览器登录一个网站为什么登录密码能记住1个月?如何实现 结论:反过来想,我们在一台电脑选择记录登录账户和密码以后,我们一开该网站就自动登录了  但是我们...
Cookie、Session登陆验证相关介绍和用法
Demon's blog
12-30 850
Cookie和Session用户登陆应用的原理Cookie的定义查看CookieDjango中操作Cookie获取Cookie设置Cookie删除CookieDjango中Session相关用法Session版登陆验证Django中的Seesion配置CBV中加载装饰器相关1. 加在CBV视图的get或post方法上2. 加在dispatch方法上3. 直接加在视图类上,但method_decorator必须传 name 关键字参数中间件CSRF Tokencookie翻译成中文意思是曲奇饼、饼干。
Djangocookie+session
agurt80004的专栏
06-23 564
前言 HTTP协议 是短连接、且状态的,所以在客户端向服务端发起请求后,服务端在响应头 加入cokie响应给浏览器,以此记录客户端状态; cook是来自服务端,保存在浏览器的键值对,主要应用于用户登录; cookie如此重要!!那么如何在Django应用cookie呢?cookie又有什么缺陷呢? 一、Django应用cookie 参数介绍 1、max_age=1 :cook...
Django(五)母版继承、Cookie、视图装饰器等
人生就是一场修行
01-04 3236
大纲一、内容回顾 补充:默认值 补充:命名空间 二、模板语言 1、母版继承 2、include 3、自定义simple_tag 三、Cookie Cookie 使用总结 四、视图 1、获取用户请求相关信息以及请求头 2、CBV和FBV用户认证装饰器二、模板语言1、母版继承母板:{% block title %}{% endblock %} 子板:{% extends "base
django 怎么解析ensure_csrf_cookie
最新发布
06-02
Django 中,当用户访问一个包含表单的页面时,Django 会自动为该用户生成一个 CSRF Token,并将其存储为 Cookie。这个 Token 可以用来防止跨站点请求伪造攻击。然而,有时我们需要手动获取这个 Token,这时可以使用 `ensure_csrf_cookie` 装饰器来实现。 `ensure_csrf_cookie` 装饰器会确保在视图函数被调用前,CSRF Token 已经被设置在 Cookie 中。这样,在表单被提交时,Django 就可以检查请求中是否包含了正确的 Token,从而防止跨站点请求伪造攻击。 使用 `ensure_csrf_cookie` 装饰器很简单,只需要在视图函数上加上这个装饰器即可: ```python from django.views.decorators.csrf import ensure_csrf_cookie @ensure_csrf_cookie def my_view(request): # your view code here ``` 这样,当 `my_view` 函数被调用时,Django 会自动为当前用户设置 CSRF Token。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值