csrf_token验证过程

最新推荐文章于 2024-05-15 11:57:48 发布
最新推荐文章于 2024-05-15 11:57:48 发布
阅读量961 收藏 2
点赞数
分类专栏: 后端 文章标签: python django
原文链接:https://blog.csdn.net/bocai_xiaodaidai/article/details/108679437
版权 
def _compare_salted_tokens(request_csrf_token, csrf_token):
    # Assume both arguments are sanitized -- that is, strings of
    # length CSRF_TOKEN_LENGTH, all CSRF_ALLOWED_CHARS.
    return constant_time_compare(
        _unsalt_cipher_token(request_csrf_token),
        _unsalt_cipher_token(csrf_token),
    )
 
def _unsalt_cipher_token(token):
    """
    Given a token (assumed to be a string of CSRF_ALLOWED_CHARS, of length
    CSRF_TOKEN_LENGTH, and that its first half is a salt), use it to decrypt
    the second half to produce the original secret.
    """
    salt = token[:CSRF_SECRET_LENGTH]
    token = token[CSRF_SECRET_LENGTH:]
    chars = CSRF_ALLOWED_CHARS
    pairs = zip((chars.index(x) for x in token), (chars.index(x) for x in salt))
    secret = ''.join(chars[x - y] for x, y in pairs)  # Note negative values are ok
    return secret

在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值
在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token
在用户点击提交的时候,会带上这两个值向后台发起请求
后端接受到请求,会做以下几件事件:
1 从 cookie中取出 csrf_token
2 从 表单数据中取出来隐藏的 csrf_token 的值
3 进行对比
如果比较两个值(经过算法运算得出的结果)是一样,那么代表是正常的请求,如果没取到或者比较不一样,代表不是正常的请求,不执行下一步操作

token字符串的前32位是salt, 后面是加密后的token, 通过salt能解密出唯一的secret。
django会验证表单中的token和cookie中token是否能解出同样的secret,secret一样则本次请求合法。
同样也不难解释,为什么ajax请求时,需要从cookie中拿取token添加到请求头中。

cfcc_fsh
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
djangocsrf token验证原理
weixin_44670861的博客
12-02 453
1.django是怎么验证csrfmiddlewaretoken合法性的? 2.每次刷新页面的时候中的csrf的value都会更新,每次重复登录的时候cookie的csrf令牌都会刷新,那么这两个csrf-token有什么区别 CSRF简称跨站请求伪造 django第一次响应来自某个客户端的请求时,会在服务器端随机生成一个token,把这个token放在cookie里,然后每次POST请求都会带上...
JWT 加密
T525174893的博客
04-26 546
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该toke...
CSRF 攻击实验:Token 不存在绕过验证
最新发布
Flag少侠的博客
05-15 1822
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求。CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
Djangocsrf验证
wuye24h
08-22 214
csrfDjango自带的验证方式,能够避免一些恶意请求 在这里主要提供几种采用方式 1、注释中间件中的csrf的中间件,让Django不采用相关的验证。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190822193855247.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,s...
详解php curl带有csrf-token验证模拟提交方法
10-18
主要介绍了详解php curl带有csrf-token验证模拟提交方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
csrf_related:csrf_material
06-15
1. **令牌验证**:最常用的防御方法是在每个敏感操作的POST请求中添加一个CSRF token。这个token应该在用户登录时生成,并存储在服务器端或客户端的非持久性存储(如sessionStorage或HttpOnly cookie)。在提交表单...
csrf_attack_example
06-01
- **Token验证**:为每个关键操作生成一个一次性使用的Token,并将其存储在服务器端和客户端(比如Cookie)。当用户提交请求时,服务器会检查请求中携带Token是否与服务器端的匹配。 - **Referer检查**:虽然不...
详解DjangoCSRF认证实现
09-20
另外,对于使用Ajax的POST请求,也需要确保在请求头中携带CSRF token,例如设置为`X-CSRFToken`。 总的来说,DjangoCSRF认证实现是其安全性的重要组成部分,有效地防止了恶意的跨站请求,保护了用户的数据安全。...
83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1
08-03
为了防止CSRF,Web应用通常会使用csrf-token,一个随机且唯一的字符串,将其包含在表单提交中,服务器通过检查这个token验证请求来源的合法性。然而,如果这个token可以被攻击者获取,那么攻击者就可以构造伪造的...
Django csrf校验通用方法
进阶的蜗牛
04-12 316
1、在django项目下创建js文件myfile.js文件如下: function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !== '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { .
WEB攻防-CSRF请求伪造&Referer同源&置空&配合XSS&Token校验&复用删除
siu~
09-13 441
1、CSRF-原理&检测&利用&防御 2、CSRF-防御-Referer策略隐患 3、CSRF-防御-Token校验策略隐患
安全认证中的CSRF
梁老师教你编程序
10-26 2088
正常的访问时,客户端浏览器能够正确得到并传回这个伪随机数,而通过CSRF传来的欺骗性攻击中,攻击者无从事先得知这个伪随机数的值,服务端就会因为校验token的值为空或者错误,拒绝这个可疑请求。而,跨域转发,是没有这个过程的。这个图说明,在浏览器向服务端请求页面时,服务端将自己生成的token,返回给了浏览器,然后在发送post的时候,浏览器就带有了token。如果是,第三方网站跳转过去,就是直接操作的界面,就算是有了cookie,认证通过了,但是因为没有这个请求字段,所以操作是无法成功的。
五十一、csrf跨站请求伪造和auth认证模块
weixin_68531269的博客
09-13 402
csrf跨站请求伪造和auth认证模块一 csrf操作二 在form表单中设置csrf三 ajax设置csrfcsrf相关装饰器五 auth认证模块5.1 auth模块常见功能5.2 auth_user表切换六 一 csrf操作 <h1>这是假的网页</h1> <form action="http://127.0.0.1:8000/bank/" method="post"> <p>用户名: <input type="text"
【笔记】Python3|爬虫请求 CSRF-Token 时如何获取TokenToken过期、处理 CSRF-Token 需要注意的问题及示例
qq_46106285的博客
03-19 8127
注意CSRF-Token可能也在响应头中,以及requests请求的时候要用Session,不然就会过期。
CSRF漏洞
晨辰.的博客
04-10 3480
CSRF 织梦漏洞复现
CSRF攻击及防止
zhangmoyan9527的博客
08-14 1054
  CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。   CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证   防止 CSRF 攻...
跨域post 及 使用token防止csrf 攻击
多崎巡礼的博客
11-21 2107
环境: 后台使用的python - flask 前台使用angular框架 1.一个跨域post的例子: 跨域post有多种实现方式: 1.CORS:http://blog.csdn.net/hfahe/article/details/7730944 2.利用iframe 3.server proxy:https://en.wikipedia.org/wiki/Proxy_server 例子...
YII_CSRF_TOKEN
04-05
在Yii框架中,YII_CSRF_TOKEN是用于防止跨站请求伪造(CSRF)攻击的令牌。CSRF攻击是一种利用用户已经登录的身份进行恶意操作的攻击方式。通过在每个表单中添加一个隐藏字段YII_CSRF_TOKEN,并在后台验证该令牌的有效性,可以有效地防止CSRF攻击。 在Yii框架中,有两种方式可以获取YII_CSRF_TOKEN令牌: 1. 自动获取YII_CSRF_TOKEN令牌[^1]: 在主配置文件中进行简单的配置,启用Yii的CSRF验证功能。在components中的request配置中,将enableCsrfValidation设置为true。这样,在每个表单提交时,Yii框架会自动添加一个隐藏字段YII_CSRF_TOKEN,并验证该令牌的有效性。 2. 手动获取YII_CSRF_TOKEN令牌: 如果你自己编写的表单没有使用Yii的表单助手(Form Helper),你需要手动添加一个隐藏字段YII_CSRF_TOKEN。你可以使用Yii的getRequest()方法获取YII_CSRF_TOKEN的值,并将其作为隐藏字段的值。 下面是一个手动添加隐藏字段YII_CSRF_TOKEN的例子: ```php <input type="hidden" value="<?php echo Yii::app()->getRequest()->getCsrfToken(); ?>" name="YII_CSRF_TOKEN" /> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值