csrf及auth模块

最新推荐文章于 2024-11-15 16:25:52 发布
最新推荐文章于 2024-11-15 16:25:52 发布
阅读量544 收藏
点赞数
分类专栏: Django 文章标签: csrf 前端 python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_67531112/article/details/126842400
版权
本文详细介绍了CSRF的概念、用途、模拟攻击、预防措施以及校验策略,包括Token构成、表单和Ajax操作的处理。同时,文章探讨了Django的Auth模块,涵盖用户创建、登录、校验、注销等常见功能,以及如何扩展auth_user表和基于中间件的功能设计。
摘要由CSDN通过智能技术生成

目录

CSRF简介

用途

模拟

预防

csrf校验策略

1.Token的构成

2.form表单操作csrf

 3.Ajax操作csrf 

CSRF添加装饰器的方法

auth模块常见方法

 auth常见功能

创建用户

校验用户名或密码是否非正确

用户登录,保存用户状态

判断用户是否登录

获取登录用户对象

校验用户登录装饰器

校验密码是否正确

修改密码

注销登录

auth_user表切换方法

基于中间件思想的功能插拔式设计

1.模块的导入方法

2.类中间件导入方式    

    2.2配置文件插拔设计

 auth扩展表字段

扩展方式一 : 建立一对一外键关系

扩展方式二 : 继承 AbstractUser 类来扩写 (步骤)

如果 auth_user 表已经存在

CSRF简介

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding, 缩写为:CSRF/XSRF

用途

CSRF可以用来做钓鱼网站:  假设是一个和银行一模一样的网址页面,用户在该页面上转账账户的钱就会减少,三十受益人却不是自己指定想要转账的那个人.

你可以这么理解CSRF共计:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你的名义发送邮件,发信息,盗取你的账号,甚至于购买商品,虚拟货币转账...造成的问题包括:个人隐私泄露以及财产安全

模拟

一台计算机上的两个服务端口启动,钓鱼网站提交地址改为正规网站的地址

  • 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;

  • 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;

  • 3.用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;

  • 4.网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;

  • 5.浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。

预防

  • csrf策略:通过在返回的页面上添加独一无二的标识信息从而区分正规网站和钓鱼网站的请求
  • CSRF防护的一个重点就是要对用户凭证进行处理,通过这种机制可以对用户的请求合法是否合法进行判断,判断是不是跨站攻击的行为。因为用户凭证是Cookie中存储的,所以防护机制的处理对象也是Cookie的数据,我们要在防护的数据中加入签名校验,并对数据进行生命周期时间的管理,就是数据过期管理。

csrf校验策略

1.Token的构成


    消息[msg]:而msg本身也有两部分组成:一部分:随即字符串,过期时间戳。
    分隔符[separator]:用于分割msg部分与加密后生成的signature签名部分,这里用的是"."
    签名[signature]:singnature.signature签名,是对“msg消息”用特定算法进行加密后的字符串
    token = base64(msg)格式化..base64(sha256("密码",msg))
    Token由被base64的msg编码穿+256加密msg再进行Base64编码,两个字符串的内容结合
 


2.form表单操作csrf

   <h1>这是一个真实的网站</h1>
    <form action="" method="post">
        {% csrf_token %}
    </form>

 
3.Ajax操作csrf 


    方法一:先编写csrf模板语法,然后利用标签查找和值获取,手动添加
      

  data:{'username':'','csrmiddlewaretoken':$('[name="csrmiddlewaretoken"]').val()},


    方法二:直接利用模板语法即可
      

 data:{'username':'','csrfmiddlewaretoken':'{
  { csrf_token }}'},


    方法三:通用方法(js脚本)CV大法即可


    更多详情请见: https://docs.djangoproject.com/en/1.11/ref/csrf/


function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');
 
 
function csrfSafeMethod(method) {
  // these HTTP methods do not require CSRF protection
  return (/^(GET|HEAD|O
最低0.47元/天 解锁文章
Yietong309
关注
专栏目录
15--Django-csrf跨站请求和auth模块
摘 月
11-14 292
csrf_protect的验证,三种方式都可以。csrf_exempt的验证,只能用第三种方式。auth的认证,依赖于auth_user表。表单、ajax两种页面添加csrf验证。目的:为了保证数据提交的安全性。
Django之Auth模块
大大的博客
06-02 1592
文章目录一、 Auth模块是什么二、 auth模块常用方法authenticate()login(HttpRequest, user)logout(request)is_authenticated()login_requierd()create_user()check_password(password)set_password(password)三、 User对象的属性四、 扩展默认的auth_user表五、 auth模块补充六、 总代码主页 auth_page.htmlhome.html登录 login
模板、csrf
BTS__TING的博客
04-13 223
22 Django模板 - csrf
阿甘兄
08-28 361
1.CSRF 全称Cross Site Request Forgery,跨站请求伪造 某些恶意网站上包含链接、表单按钮或者JavaScript,它们 利用登录过的用户在浏览器中的认证信息试图在你的网站上完成某些操作,这就是跨站攻击 演示csrf如下: 创建视图csrf1用于展示表单,csrf2用于接收post请求 def csrf1(request): return render(re...
五十一、csrf跨站请求伪造和auth认证模块
weixin_68531269的博客
09-13 456
csrf跨站请求伪造和auth认证模块csrf操作二 在form表单中设置csrf三 ajax设置csrfcsrf相关装饰器五 auth认证模块5.1 auth模块常见功能5.2 auth_user表切换六 一 csrf操作 <h1>这是假的网页</h1> <form action="http://127.0.0.1:8000/bank/" method="post"> <p>用户名: <input type="text"
CSRF与钓鱼链接攻击
球球的博客
03-20 5948
CSRF发生的原理和过程,验证Referer这种不靠谱的防御即绕过
调用数据库迁移命令中自带的auth_user
yhwu123的博客
06-09 665
操作表 要调用此表需先导入二个方法 from django.contrib import auth from django.contrib.auth.models import User 登录 auth.authenticate(request,username=username,password=password) 注:必须同时传入用户名与密码 注:此密码为密文格式 此命令拥有两个返回值 1.返回对象 在对象中可以查看对应信息(按数据库里的输出) 2.返回none 保存状态 auth.login(requ
django中间件和auth模块
weixin_55136170的博客
01-31 200
在用django开发项目的时候,只要涉及到全局相关的功能都可以使用中间件方便的完成。首先django自带7个中间件,每个中间件都有各自对应的功能。并且django还支持程序员自定义中间件。
Django(十一、auth认证模块
shiyaopeng11的博客
11-26 692
Django自带一个admin路由,但是需要我们提供管理员账户和密码,如果想要使用admin后台管理,需要先创建表,然后创建管理员账户。直接执行数据类迁移命令即可产生默认的auth_user表,该表就是admin后台管理默认的认证表1.创建超级管理员在执行创建管理员命令后,运行环境会提示我们输入用户名,邮箱(选填),密码等信息,依次输入即可。这样我们的auth_user表中就会添加一条数据,这条数据就是管理员用户信息。
【不完全翻译】Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet
WLANQY的博客
01-06 126
CSRF是一种恶意攻击,可能发生在网站、email、博客、讯息或者是一个程序。一旦用户登录过(经过授权),浏览器将执行一些用户意外的操作。CSRF攻击能起作用,是因为浏览器发出的请求自动包含了网站相关的授权认证(credentials),例如用户的cookie、IP地址。因此,如果用户被授权(登录过网站),网站无法区分合法或伪造的请求。我们需要一个攻击者无法获得的token或者标识(identifier),使其不会随着虚假请求被发送。一个CSRF攻击的影响范围和应用所暴露的漏洞有关。
CSRF攻击与防御(写得非常好)
热门推荐
认知 行动 坚持
12-08 25万+
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
Django解决CSRF请求处理
zsrwan的博客
06-02 899
一、在提交的前端页面中写入js代码片段 // get cookie using jQuery function getCookie(name) { let cookieValue = null; if (document.cookie && document.cookie !== '') { let cookies = document.cook...
csrf跨站请求伪造
weixin_30537391的博客
09-25 166
跨站请求伪造简介 钓鱼网站 通过制作一个跟正儿八经的网站一模一样的页面,骗取用户输入信息 转账交易从而做手脚 例如:转账交易的请求确确实实是发给了中国银行,账户的钱也是确确实实少了,唯一不一样的地方在于收款人账户不对 内部原理 在让用户输入对方账户的那个input上面做手脚 给这个input不设置name属性,在内部隐藏一个实现写好的name和value属性的input框 ...
csfr防御 ajax,前端Ajax请求的CSRF防御
weixin_35773344的博客
08-06 243
前端模版的JavaScript代码处,添加下面的代码:// using jQueryfunction getCookie(name) {var cookieValue = null;if (document.cookie && document.cookie !== '') {var cookies = document.cookie.split(';');for (var i ...
Django 防御 csrf 攻击的方式(包括ajax请求)
HYESC的博客
07-10 844
csrf攻击简要说明: 用户A现在登录了某银行网站的官网,浏览器记录了该网站生成的记录用户信息的cookie,而后用户A点击了钓鱼网站(该网站和银行网站长的一样),该钓鱼网站内有js代码向银行官网发起转账请求,此时该请求会自动携带记录用户信息的cookie值去访问银行官网进行转账操作,银行网站的后端若没有设置csrf防御机制,仅仅验证用户是否登录,就会认为该转账操作是该用户的合法操作。如果银行网站...
django关于csrf防止跨站的ajax请求403处理
wjy397的专栏
10-12 3532
django配置文件通过中间件开启CSRF(Cross-site request forgery跨站请求伪造) 默认开启 参考官方文档django官方文档 正常请求 1.需要在views结尾传递context_instance=RequestContext(request) 2.然后在模板的form标签内添加{% csrf_token %} 异步请求 第一种
Jquery如何使用csrf
PlusChang的博客
10-21 2191
var csrftoken = $.cookie('csrftoken'); function csrfSafeMethod(method) { // these HTTP methods do not require CSRF protection return (/^(GET|HEAD|OPTIONS|TRACE)$/.tes
Ajax 请求的坑
孤舟残月梦还长存的专栏
02-21 2112
一、Ajax 请求的 CSRF 保护机制 开发普通页面,在一般情况下,我们使用 jquery 的 Ajax 代替原生 js 向后端发起请求是很方便的。后端在一般情况下,我们使用的是像 laravel、Yii、ThankPHP 或者 CodeIgniter 等等这样的框架。这些框架无一例外都使用了 CSRF保护机制,什么是 CSRFCSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性。简单理解一下,最常见的情况,就是 A 站点的页面去请...
通过组合Self-XSS + CSRF得到存储型XSS
最新发布
zkaqlaoniao的博客
11-15 394
但是问题是这个功能配置并不是公共的,造成XSS漏洞的唯一方法是告诉受害者将其名称更改为恶意JavaScript代码,这称为Self-XSS,没有太大影响。回到XSSHunter,当任何用户打开我们的HTML表单时,平台获取到了目标cookie,由此我们可得到了一个Stored XSS(存储型XSS)。现在,用户名更改为JavaScript代码后,浏览主页的代码将在目标的浏览器中加载,并向XSS hunter平台发送回cookie。在最后我添加了JavaScript自动提交表单,使其更有效。
利用 django auth 模块写一个登录和注册模块
06-06
好的,下面是基于 Django auth 模块的登录和注册模块的示例代码: ## 注册模块 ### 1. 创建注册页面 在 templates 目录下创建一个 register.html 文件,该文件包含一个表单,用户可以输入用户名和密码: ```html...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值