Django 跨站伪造请求攻击CSRF简明

最新推荐文章于 2024-06-17 11:47:21 发布
最新推荐文章于 2024-06-17 11:47:21 发布
阅读量2.4k 收藏
点赞数
分类专栏: 后端 文章标签: django csrf 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47125742/article/details/122626842
版权

csrf介绍

接触到csrf之前应该要了解cookie,cookie是浏览器保存用户信息的一种机制,比如登陆状态、账号、甚至密码,并且它是自动提交的。csrf就是跨域完成控制cookie的一种攻击。举个例子就是,理想情况下:例如在网上登录了某银行并且没退出(这个页面也没叉掉),就去访问了一些恶意网站,这些恶意网站大多会给你一个表单,然你去填写,这时就利用保存在浏览器上的cookie来操作这个没有关掉的页面。

防范原理

在这里插入图片描述

测试阶段

模板层写个页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <form action="/test_csrf" method="post">
        {% csrf_token %}
        <input type="text" name="username">
        <input type="submit" value="提交">
    </form>
</body>
</html>

提交数据之后,f12打开控制台观察两个数据,我这里用的是edge:
先看cookie保存的csrftoken,这个就是上述的暗号2
在这里插入图片描述
再看源码:


<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <form action="/test_csrf" method="post">
        <input type="hidden" name="csrfmiddlewaretoken" value="Nnsf9fPUtV0KvLQ6pbLIoQJvTXE3AXFynymZlrRdA5tgeNxu1o8lRLvqJy0MF1">
        <input type="text" name="username">
        <input type="submit" value="提交">
    </form>
</body>
</html>

发现在源码处会把{%csrf_token%}解释为一句加密字符,这个是这个ip访问网页产生的

所以就是点击提交之后通过其它的计算校对两个csrf是否一致来完成数据的提交

皮卡丘黄了吧唧丿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django安全特性(一) 跨站点脚本(XSS)攻击保护
ckk727的博客
03-03 650
Django在很大程度上可以规避许多风险,但这并不说明使用Django就可以万无一失,要想让你的网站能够安稳运行,了解Django安全特性非常重要,你要首先知道,在哪些方面Django提供了保护机制,而哪些地方Django做的还不太完善。 一、跨站点脚本(XSS)攻击保护 我们知道,Django的模板系统可以生成任何text-based格式,例如HTML。 设想这样一种情况: Hello,{...
django csrf跨站攻击
fighter_yy的专栏
01-13 1664
csrf 攻击原理:                   # django使用(CsrfMiddleware)进行Csrf防护,原理如下: 1.它修改当前处理的请求,向所有的 POST 表单增添一个隐藏的表单字段,使用名称是 csrfmiddlewaretoken, 值为当前会话 ID 加上一个密钥的散列值。 如果未设置会
Django防止XSS攻击的几种方式
u011300968的博客
07-19 8126
一、什么是XSS攻击 XSS即跨站脚本攻击,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 二、防止XSS攻击的两种方式 1、对单一变量逐个进行转义过滤。利用{% autoescape off|on %}。 2、利用django的HTML自动转义,无需autoescape 标签,django中的HTML文档会自动转义。< 转化
Python开发Django框架入门(MVC与MTV模式)
qq_42812036的博客
11-24 626
Django框架Django简介搭建Django环境Django安装创建Diango项目启动Django视图View模型Model配置数据创建模型激活模型使用API模板Template使用MVT模式实现数据库增删改查总结 Django简介 搭建Django环境 Django安装 官方文档 这里使用pip安装 pip install Django==2.0.6 测试安装是否成功 >>&...
学科投票系统-基于Python-Django实现的前后端分离项目
dcstempt_ping
08-04 4393
学科投票系统-基于Python-Django实现的前后端分离开发 作者:代昌松 项目详情代码请参考: vote_api:https://gitee.com/dcstempt_ping/vote_api 文章目录学科投票系统-基于Python-Django实现的前后端分离开发前后端分离开发概述创建Diango的投票项目投票项目需要实现的功能添加静态文件配置关系型数据库MySQLORM对象关系映射利用Django后台管理模型实现学科页和老师页的显示RESTful架构REST概述DjangoRestFramewo
python面试常见知识点收集,长期更新
weixin_47438615的博客
01-21 1万+
python面试大全,不断记录更新中........敬请期待
一书读懂Python全栈安全,剑指网络空间安全
热门推荐
兔子王
05-29 2万+
通过阅读《Python全栈安全/网络空间安全丛书》,您将能够全面而深入地理解Python全栈安全的广阔领域,从基础概念到高级应用无一遗漏。本书不仅详细解析了Python在网络安全、后端开发、数据分析及自动化等全栈领域的安全实践,还紧密贴合网络空间安全的最新趋势与挑战,确保您能掌握保护网络系统、预防黑客攻击、实施安全策略等关键技能。这不仅是一次知识的旅行,更是为您职业生涯保驾护航,助您剑指网络空间安全领域的巅峰,成为守护数字世界的坚强盾牌。
python面试题整理
carezhougang的博客
09-21 1136
一、Python基础 在Django2.0之前外键不需要只需要models.ForeignKey(‘外键关联’)就可以实现了 但是在Django发布2.0之后,需要在这个方法里添加另外一个参数 on_delete=models.CASCADE,否则会报错误 1、一行代码实现1–100之和? 答:sum(range(1,101)) 逻辑外键是通过代码去限制表之间的关联,物理外键是通过mysql数据库...
Python面试题
qq_43367746的博客
03-29 4871
一、Python基础 在Django2.0之前外键不需要只需要models.ForeignKey(‘外键关联’)就可以实现了 但是在Django发布2.0之后,需要在这个方法里添加另外一个参数 on_delete=models.CASCADE,否则会报错误 1、一行代码实现1–100之和? 答:sum(range(1,101)) 逻辑外键是通过代码去限制表之间的关联,物理外键是通过mysql数据库...
Django CSRF跨站请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A...
Django中如何防范CSRF跨站请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF跨站请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
主要介绍了详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
基于Django + Web + MySQL的智慧校园系统
三分梦的博客
06-17 165
由于时间紧迫,好多功能没实现,只是个半吊子的后台管理系统,亮点是项目安全性还算完整,权限保护+加密功能+检索功能有实现,可参考修改。
51.Python-web框架-Django开始第一个应用的增删改查
智盟科技智能制造团队的博客
06-12 1152
这里可以创建任意多个模型。name = models.CharField(verbose_name='部门名称', max_length=200,)description = models.TextField(verbose_name='部门描述', blank=True, null=True)parent = models.IntegerField(verbose_name='父部门', blank=True, null=True, default=0)
Django的‘通用视图TemplateView’
wanghuizheng的专栏
06-13 281
其中base.html文件同样位于项目templates目录下。book.jpg文件位于项目的static\images目录下。使用通用视图的好处是:如果有一个html需要展示,不需要写view视图函数,直接写好url即可。3、打开网页http://localhost:8000/home/,即可查看。2、在项目templates目录下,新建home.html文件。1、编辑项目urls.py文件。
Django模板的继承与使用
weixin_74923758的博客
06-11 375
应用的目录下,创建 templates/my_app。基础页面就是不变的内容(可以继承下来的)目录,并在该目录下创建以下模板文件。主页面就是写核心内容(需要变的内容)一个是基础页面,一个是主页面。文件中编写视图函数渲染。替换后的直观效果如下。
基于Django的博客系统之增加手机验证码登录(九)
最新发布
06-17 320
实现基于Redis和第三方短信服务商的短信验证码登录功能。用户可以通过手机号码获取验证码,并使用验证码进行登录。前端部分:使用 Vue.js 编写手机验证码登录页面。后端部分:使用 Django 编写 API,处理手机号码和验证码的验证逻辑,并与 Redis 集成存储验证码。
Django之文件上传(二)
Calor13的博客
06-12 252
重命名文件也可以避免文件名冲突的问题可以根据自己情况,针对性增加描述信息。
Django中的CSRF(跨站请求伪造)
05-21
Django中的CSRF是一种安全机制,可以防止跨站请求伪造攻击。在Django中,默认情况下,所有的POST、PUT、DELETE请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。 具体来说,Django在生成表单时会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值