csrf介绍
接触到csrf之前应该要了解cookie,cookie是浏览器保存用户信息的一种机制,比如登陆状态、账号、甚至密码,并且它是自动提交的。csrf就是跨域完成控制cookie的一种攻击。举个例子就是,理想情况下:例如在网上登录了某银行并且没退出(这个页面也没叉掉),就去访问了一些恶意网站,这些恶意网站大多会给你一个表单,然你去填写,这时就利用保存在浏览器上的cookie来操作这个没有关掉的页面。
防范原理
测试阶段
模板层写个页面
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="/test_csrf" method="post">
{% csrf_token %}
<input type="text" name="username">
<input type="submit" value="提交">
</form>
</body>
</html>
提交数据之后,f12打开控制台观察两个数据,我这里用的是edge:
先看cookie保存的csrftoken,这个就是上述的暗号2
再看源码:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="/test_csrf" method="post">
<input type="hidden" name="csrfmiddlewaretoken" value="Nnsf9fPUtV0KvLQ6pbLIoQJvTXE3AXFynymZlrRdA5tgeNxu1o8lRLvqJy0MF1">
<input type="text" name="username">
<input type="submit" value="提交">
</form>
</body>
</html>
发现在源码处会把{%csrf_token%}解释为一句加密字符,这个是这个ip访问网页产生的
所以就是点击提交之后通过其它的计算校对两个csrf是否一致来完成数据的提交