Django中间件之csrf跨站请求伪造

最新推荐文章于 2023-04-09 20:02:01 发布
最新推荐文章于 2023-04-09 20:02:01 发布
阅读量260 收藏
点赞数
文章标签: django 中间件 csrf python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46407419/article/details/124855120
版权

csrf跨站请求伪造

CSRF(Cross Site Request Forgery) 跨站请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。如果从名字你还不不知道它表示什么,你可以这样理解:攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私泄露和财产损失。

CSRF攻击实例

听了这么多,可能大家还云里雾里,光听概念可能大家对于CSRF还是不够了解,下面我将举一个例子来让大家对CSRF有一个更深层次的理解。

# 以钓鱼网站为例:
	我搭建一个跟正规网站一模一样的界面(中国银行)
	用户不小心进入到了我们的网站,用户给某个人打钱
	打钱的操作确确实实是提交给了中国银行的系统,用户的钱也确确实实减少了
	但是唯一不同的时候打钱的账户不是用户想要打的账户变成了一个莫名其妙的匿名账户
# 内部本质
	我们在钓鱼网站的页面 针对对方账户 只给用户提供一个没有name属性的普通input框
	然后我们在内部隐藏一个已经写好name和value的input框
    那么我们在提交的时候只向后端提交存在name属性和value值得input框内容
    此时隐藏得input框得name和value属性值是固定得,相当于'诈骗'账户

示例:

8000端口:html

<h1>我是正真得网站</h1>
<form action="" method="post">
    <p>username: <input type="text" name="username"></p>
    <p>target_user: <input type="text" name="target_user"></p>
    <p>money: <input type="text" name="money"></p>
    <p><input type="submit"></p>

</form>

8001端口:html

<h1>我是钓鱼网站</h1>
<form action="http://127.0.0.1:8000/transfer/" method="post">
    <p>username: <input type="text" name="username"></p>
    <p>target_user: <input type="text"></p>
    <input type="text" name="target_user" value="gary" style="display: none">
    <p>money: <input type="text" name="money"></p>
    <p><input type="submit"></p>
</form>

需要将钓鱼网站的端口号修改,不然冲突
display:none可以隐藏某个元素,且隐藏的元素不会占用任何空间。也就是说,该元素不但被隐藏了,而且该元素原本占用的空间也会从页面布局中消失。

如何避免上述问题呢:

# csrf跨站请求伪造校验
		网站在给用户返回一个具有提交数据功能页面的时候会给这个页面加一个唯一标识
		当这个页面朝后端发送post请求的时候 我的后端会先校验唯一标识,如果唯一标识不对直接拒绝(403 forbbiden)如果成功则正常执行

form如何符合校验

前提:

'django.middleware.csrf.CsrfViewMiddleware',  # 需要去配置文件将csrf中间件打开
# 只需要在form表单内添加:{% csrf_token %}

<h1>我是正真得网站</h1>
<form action="" method="post">
    {% csrf_token %}
    <p>username: <input type="text" name="username"></p>
    <p>target_user: <input type="text" name="target_user"></p>
    <p>money: <input type="text" name="money"></p>
    <p><input type="submit"></p>
</form>

ajax如何符合校验

# 除了form表单可以提交post请求之外,ajax也是可以提交post请求的
# 那么上述方法只是针对form表单的,那么我们接下来来研究ajax是如何

方式一:

// 第一种 利用标签查找获取页面上的随机字符串
<script>
    $('#d1').click(function (){
        $.ajax({
            url:'',
            type:'post',
            data:{'username':$('[name=username]').val(),'target_user':$('[name=target_user]').val(),'money':$('[name=money]').val(),'csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()},
            // 主动取出csrfmiddlewaretoken对应的值发送给后端
            success:function (){

            }
        })
    })
</script>

方式二:

# 利用模版语法提供的快捷书写 (如果是前后端分离的项目,就不方便使用该方法)
    
data:{'username':$('[name=username]').val(),'target_user':$('[name=target_user]').val(),'money':$('[name=money]').val(),'csrfmiddlewaretoken':{{ csrf_token }},

方式三:

// 第三种 通用方式直接拷贝js代码并应用到自己的html页面上即可 
{% load static  %}
<script src="{% static 'js/mycsrf.js' %}"></script>
 
 
data:{'username':$('[name=username]').val(),'target_user':$('[name=target_user]').val(),'money':$('[name=money]').val()},

配置文件:

// 需手动创建js文件

function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');
function csrfSafeMethod(method) {
  // these HTTP methods do not require CSRF protection
  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

$.ajaxSetup({
  beforeSend: function (xhr, settings) {
    if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
      xhr.setRequestHeader("X-CSRFToken", csrftoken);
    }
  }
});

csrf相关装饰器

需求:
	1.网站整体都不校验csrf,就单单几个视图函数校验
    2.网站整体都校验csrf,就单单几个不视图函数不校验
# 这里django给我们提供了现成的两个装饰器供我们使用
1. csrf_protect   需要校验
2. csrf_exempt   忽视校验

csrf_exempt忽视校验:

csrf_protect需要校验

研究CBV添加装饰器是否可行:

from django.views import View

# @method_decorator(csrf_protect,name='post')  # 针对csrf_protect 第二种方式可以
# @method_decorator(csrf_exempt,name='post')  # 针对csrf_exempt 第二种方式不可以
@method_decorator(csrf_exempt,name='dispatch')
class MyCsrfToken(View):
    # @method_decorator(csrf_protect)  # 针对csrf_protect 第三种方式可以
    # @method_decorator(csrf_exempt)  # 针对csrf_exempt 第三种方式可以
    def dispatch(self, request, *args, **kwargs):
        return super(MyCsrfToken, self).dispatch(request,*args,**kwargs)

    def get(self,request):
        return HttpResponse('get')

    # @method_decorator(csrf_protect)  # 针对csrf_protect 第一种方式可以
    # @method_decorator(csrf_exempt)  # 针对csrf_exempt 第一种方式不可以
    def post(self,request):
        return HttpResponse('post')

总结:

针对csrf_protect:需要校验
	三种方式都可行。
针对csrf_exempt:忽视校验
	只有给dispatch方法添加才可行
    (可以在dispatch方法紧上方添加装饰器,
     也可以使用@method_decorator(csrf_exempt,name='dispatch')在类上方添加装饰器)
Jackson 伯恩云
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Django CSRF跨站请求伪造防护过程解析
09-18
主要介绍了Django CSRF跨站请求伪造防护过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Django安全认证机制CSRF
ssshey的博客
07-07 965
Django安全认证机制CSRF
csrf跨站请求
记录学习ing
06-04 286
钓鱼网站 我搭建一个跟正规网站一模一样的界面(中国银行) 用户不小心进入到了我们的网站,用户给某个人打钱 打钱的操作确确实实是提交给了中国银行的系统,用户的钱也确确实实减少了 但是唯一不同的时候打钱的账户不适用户想要打的账户变成了一个莫名其妙的账户内部本质 我们在钓鱼网站的页面 针对对方账户 只给用户提供一个没有name属性的普通input框 然后我们在内部隐藏一个已经写好name和value的input框如何规避上述问题 csrf跨站请求伪造校验
Django中的CSRF使用及ajax请求接口时问题总结
Colinspace
11-23 1158
总结Django的常规使用CSRF的情况,以及如何在AJAX 中请求后端接口的时候,使用 CSRF
csrf 功能 及 csrf装饰器使用
anzhilan7823的博客
07-01 418
目录 csrf 功能 及 csrf装饰器使用 简单了解csrf 防范措施 了解更多csrf点击 djangocsrf csrf装饰器 csrf功能(执行流程) csrf 功能 及 csrf装饰器使用 简...
django csrf 防护
xiaobukasi的专栏
05-26 89
作用: 防止跨站请求 配置文件: MIDDLEWARE = [ 'django.middleware.csrf.CsrfViewMiddleware', ] 模板: {% csrf_token%} 视图类视图函数默认都加入csrf验证 from django.views.decorators.csrf import csrf_exempt,csrf_protect fbv: 去掉csrf防护 @csrf_exempt 加入csrf防护 @csrf_pro...
Django中如何防范CSRF跨站请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF跨站请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Django跨域请求CSRF的方法示例
09-19
主要介绍了Django跨域请求CSRF的方法示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
【安全】(二)Djangocsrf防御
财迷的博客
02-28 1236
【安全】(二)Djangocsrf防御
Django网络安全】如何正确防护CSRF跨站请求伪造
最新发布
黎明总是如期而至
04-09 671
CSRF(Cross-site request forgery),中文名跨站请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器中的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
python 全栈开发,Day88(csrf_exempt,ES6 快速入门,Vue)
shykevin的博客
07-23 779
python 全栈开发,Day88(csrf_exempt,ES6 快速入门,Vue) BBS项目内容回顾 1. 登陆页面 1. 验证码 1. PIL(Pillow) 2. io 2. ORM 1. 增删改查 3. AJAX $.ajax...
django @csrf_exempt
v791106444的博客
05-23 3138
在views.py中 from django.views.generic.base import View class ueditor(View): @csrf_exempt def post(self, request): print(request.POST.get('abc', "")) return render(request, "...
Flask-9 CSRF保护
xy_best_的博客
05-10 267
目录为什么需要 CSRF?实现AJAX故障排除 为什么需要 CSRF? Flask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为了能够让所有的视图函数受到 CSRF 保护,你需要开启 CsrfProtect 模块: from flask_wtf.csr
Django——CSRF防御
小白一直白
01-28 432
关于CSRF攻击原理在上一篇博客已经有过说明,这篇主要介绍下Django关于开启CSRFCSRF工作机理。关于开启防御有两种,一种是全局开启,另一种是局部开启。 全局: 中间件 django.middleware.csrf.CsrfViewMiddleware 局部:from django.views.decorators.csrf import csrf_exempt,csrf_prot...
@csrf_exempt 类的视图跨域
Christian的博客
06-20 5396
Django中对于基于函数的视图我们可以 @csrf_exempt 注解来标识一个视图可以被跨域访问。那么对于基于类的视图,我们应该怎么办呢?简单来说可以有两种访问来解决方法一:在类的 dispatch 方法上使用 @csrf_exempt转载:https://blog.csdn.net/kongxx/article/details/77322657...
flask_wtf CSRFProtect机制
ypgsh的博客
01-09 1814
一,使用 实例化 from flask_wtf import CSRFProtect csrf = CSRFProtect() 初始化 from flask import Flask app = Flask(__name__) ... WTF_CSRF_SECRET_KEY=xxx #设置token 生成salt ... csrf.init_app(app)     csrf默认对[...
Django 中针对基于类的视图添加 csrf_exempt
热门推荐
kongxx的专栏
08-17 2万+
Django中对于基于函数的视图我们可以 @csrf_exempt 注解来标识一个视图可以被跨域访问。那么对于基于类的视图,我们应该怎么办呢?简单来说可以有两种访问来解决方法一:在类的 dispatch 方法上使用 @csrf_exemptfrom django.views.decorators.csrf import csrf_exemptclass MyView(View): def g
decorators 参数_Django中decorators装饰器的使用
weixin_36152824的博客
12-23 318
1、CBV实现的登录视图classLoginView(View):defget(self, request):"""处理GET请求"""return render(request, 'login.html')defpost(self, request):"""处理POST请求"""user= request.POST.get('user')pwd= request.POST.get('pwd')i...
Django @csrf_exempt不能在类视图中工作(Django @csrf_exempt not working in class View)
amy6262的博客
08-21 1177
我在Django 1.9中有一个使用SessionMiddleware的应用程序。我想在同一个项目中为这个应用程序创建一个API,但是在做一个POST请求时,它不能使用@csrf_exempt注释。 settings.py MIDDLEWARE_CLASSES = [ 'corsheaders.middleware.CorsMiddleware', 'djan...
django中的 csrf
03-31
CSRF(Cross-Site Request Forgery)是一种网络攻击方式,攻击者通过伪造用户请求,在用户不知情的情况下完成一些非法操作,如删除、修改等。为了防止这种攻击,Django引入了CSRF保护机制。 CSRF保护机制的原理是,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值