django中的CSRF相关问题

最新推荐文章于 2022-11-23 22:28:09 发布
最新推荐文章于 2022-11-23 22:28:09 发布
阅读量273 收藏
点赞数
分类专栏: python成长之路 文章标签: python django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44339867/article/details/101073347
版权

CSRF简介: CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

在django中默认就已经开启了针对CSRF的处理,在settings.py中的 ‘django.middleware.csrf.CsrfViewMiddleware’, 就是开启对CSRF的处理,此时如果通过POST方式提交表单,必须在表单内加入 {% csrf_token %},否则将不会提交成功。
对于 csrf_token 有两种方式,一种是 {{ csrf_token }},另外一种是 {% csrf_token %},前者试将django后台生成的 token 以字符串的形式展示,后者,是以 input 标签的形式,并且隐藏了起来,就是这样的:
<input type="hidden" name="csrfmiddlewaretoken" value="YeqAWDoi4wfNThhzDsJLVx25SY1ped81QGNIihooav5mRrt5nghVZeQvTl9HWSaL" />"

通过ajax方式发送post请求时 CSRF 的认证。

<body>
        {% csrf_token %}  # 生成一个 input 标签,其值就是 token
        <input type="text" name="name"/><br> 
        <input type="submit" value="提交">
        <button class="sub">AJAX提交</button>
</body>
<script src="https://code.jquery.com/jquery-3.4.1.js"></script>
<script>
    $(function () {
        $(".sub").click(function(){
            var token = $('input[name="csrfmiddlewaretoken"]').val()   #  获取带有token的那个 input 标签的值
            var user = $('input[name="name"]').val() 
          $.ajax({
                url: '/test1/',
                type: 'POST',
                headers: {"X-CSRFToken": token},  #  X-CSRFToken 是 django 要求的,不能改
                data: {"user": user},
                success: function (res) {
                    console.log(res)
                }
            })

        })
    })
</script>
默默努力的程序员
关注
专栏目录
django 取消csrf限制的实例
09-17
本文将详细介绍如何在Django取消CSRF限制,并探讨在前后端分离项目处理CSRF Token和跨域问题的方法。 首先,要取消DjangoCSRF限制,你可以使用`django.views.decorators.csrf.csrf_exempt`装饰器。这是一个...
Djangocsrf防御机制
peppa_pig的博客
12-25 301
{% csrf_token %}标签,csrf 全称是 Cross Site Request Forgery。是Django提供的防止伪装提交请求的功能。POST 方法提交的表格,必须有此标签。 Django在template写form时,要加上{% csrf_token %},否则会报错。 目的:csrf_token是为了防止CSRF(跨站请求伪造)。 csrf攻击说明 1.用户C打开...
djangocsrf_token原理
janthinasnail的博客
04-14 1900
为防止CSRF攻击,我们需要在html页面加入{% csrf_token %}这样的代码。 但是,当我们打开多个页面的时候,你会发现,每个页面的这个csrfmiddlewaretoken还不一样,如下代码所示: //页面1的部分代码 <input type="hidden" name="csrfmiddlewaretoken" value="aPhlhBx4ellSgZbxDiBYwLqGd8pC3Pt0bkSD7wedsiKAuDIDwIYPh1XdklDmmGcI"> //页面2的部
巧妙的解决csrf_token问题
zhangfortune的专栏
10-21 4167
无论是在django,还是在ruby on rails,都提供了一种基于token验证的机制,可以理解为防跨站机制。这种机制呆了的好处不必多说,但是会带来一种麻烦,就是在使用ajax的时候,会导致提交失败,比如在django会提示:   CSRF verification failed. Request aborted.(django) Can't verify CSRF toke...
django的form表单及ajax提交的数据添加认证的csrfmiddlewaretoken
旷古的寂寞的博客
09-28 5999
 1. 对于ajax提交数据,把下面的代码加入到js的头部,可以保证ajax执行时自动提交参数csrfmiddlewaretoken。 $.ajaxSetup({data: {csrfmiddlewaretoken: '{{ csrf_token }}' }}); 2. 对于form表单提交数据,在表单内部加入{% csrf_token %}标签,会自动生成一个input标签 &lt;f...
查看网页隐藏的csrfmiddlewaretoken
qq_39708579的博客
02-23 5440
若爬取的网页需要登录,并且form data包含隐藏的csrfmiddlewaretoken信息,如下图:则可以在html源码按住“ctrl+F”,搜索“csrfmiddlewaretoken”即可复制其value值:...
django-csrf使用和禁用方式
12-20
Django框架CSRF保护是默认启用的,以确保只有合法的用户操作才能被执行。以下是对标题、描述和标签内容的详细解释: ### Django CSRF使用 **1. 添加`{% csrf_token %}`到ORM表单** 在Django的模板,使用`{...
djangoCSRF问题及解决
06-05
### DjangoCSRF问题及其解决方案 #### 一、CSRF概念理解 CSRF,全称为Cross-Site Request Forgery(跨站请求伪造),是一种安全威胁,通常与另一种常见攻击手法XSS(Cross-Site Scripting,跨站脚本攻击)一起...
Django接口请求返回报错:CSRF Failed: CSRF token missing or incorrect
西京刀客
08-06 7630
Django接口请求返回报错:CSRF Failed: CSRF token missing or incorrect 问题分析: 这是django自带的用户验证机制。 django,会对合法的跨域访问做这样的检验,cookies里面存储的’csrftoken’,和post的header里面的字段”X-CSRFToken’作比较,只有两者匹配,才能通过跨域检验。否则会返回这个错误:CSRF Failed: CSRF token missing or incorrect django默认会有csrf验证.
Django的cs rf token验证
qq_41048761的博客
03-12 478
CSRF(Cross Site Request Forgery protection),文简称跨站请求伪造。django对POST请求,csrf会进行认证处理,csrf认证机制是防御跨站伪造功能,在没有任何处理的前提下,POST请求会报错。 Django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 token,把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token,这样就能避免被 CSRF 攻击。 例子如下: login.html页面: 浏
CSRF--跨站请求伪造
郭帅的博客
07-08 307
CSRFCSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题:个人隐私泄露以及财产安全。CSRF攻击示意图客户端访问服务器时没有同服务器做安全验证防止 CSRF 攻击步骤:在客户端向后端请求界面数据的时候,后端会往...
Django CSRF
光明小学王小雨的博客
12-16 1904
一、CSRF攻击攻击原理及过程 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式 1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未退出网站A之前,在同一浏览器,打开一个TAB页访问网站B...
Flask CSRF的保护与cookiecsrf_token 和表单csrf_token实现
xiaoming0018的博客
02-14 1817
Flask请求体的请求开启CSRF保护可以按以下配置 from flask_wtf.csrf import CSRFProtect   app.config.from_object(Config)   CSRFProtect(app) #像任何其它的 Flask 扩展一样,你可以惰性加载它: from flask_wtf.csrf import CsrfProtect csrf = C...
间件与CSRF跨站请求伪造
Shawn派大星
04-21 331
引入 1.什么是间件 间件是一个很大的概念, 它介于两个事务之间 服务器间件:服务器的调优,例:Java的Tomcat 消息队列间件:消息队列,在应用程序与应用程序之间, 数据库间件:应用程序与数据库之间 一.Django间件 (middleware) 1.什么Django间件 请求来的时候需要先经过间件才能到真正的Django后端 响应走的时候也需要经过间件才能发送出去 通俗的讲 : 间件相当于是Django的门户, 你进来时要经过它, 出去的时候也要经过它 介于request与
csrf跨站请求伪造问题解决
weixin_34037173的博客
06-18 192
解决方案 模板渲染 {% csrf_token %} 结果 <input type="hidden" name="csrfmiddlewaretoken" value="2vzoo1lmSWgLTdI2rBQ4PTptJQKRQTRwnqeWRGcpdAQGagRp8yKg8RX2PdkF4aqh"> ps:value是动态生成的,每一次刷新都不一样 fro...
DjangoCSRF原理及应用详解
热门推荐
AlexGeek
09-22 1万+
 Web开发十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造(CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
DjangoCSRF使用及ajax请求接口时问题总结
Colinspace
11-23 1278
总结Django的常规使用CSRF的情况,以及如何在AJAX 请求后端接口的时候,使用 CSRF
django 整合 kindeditor ,解决上传图片 csrf 验证问题
weixin_30770495的博客
11-17 126
方法一:修改kindeditor.js 文件 django 在整合任何的在线编辑器的时候,上传图片通常都会遇到一个csrf 验证失败的错误。 我以前的解决方法是,但是那始终是不安全的。还好找到了新的解决方法 ,伟大的 stackoverflow 以kindeditor 为例,找到主 js文件 ,如: /home/ubuntu/ndis/static/editor/kindedi...
Djangocsrf跨站请求伪造,auth认证模块
weixin_30846599的博客
06-21 179
一.csrf跨站请求伪造: 用钓鱼网站模仿正规网站从而达到瞒天过海的操作,具体的操作如下: 首先,开一个正规网站服务器(为了模仿钓鱼,把csrf间件关了): 视图: def index(request): username = request.POST.get('username') money = reque...
djangocsrf的实现机制
最新发布
06-10
DjangoCSRF(Cross-Site Request Forgery)机制可以防止跨站点请求伪造攻击。DjangoCSRF机制的实现基于以下两个元素: 1. CSRF令牌:每个表单都会包含一个隐藏的CSRF令牌,这个令牌是服务器随机生成的,并且...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值