django16: csrf跨站请求伪造/CSRF相关装饰器

最新推荐文章于 2021-08-10 16:06:22 发布
最新推荐文章于 2021-08-10 16:06:22 发布
阅读量118 收藏 2
点赞数
分类专栏: django 文章标签: django csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/winterye12/article/details/116046488
版权

CSRF

即跨站请求攻击

跨站请求伪造csrf
	钓鱼网站
		本质搭建一个跟正常网站一模一样的页面
		用户在该页面上完成转账功能
		
		转账的请求确实是朝着正常网站的服务端提交
		唯一不同的在于收款账户人不同
		
		给用户书写form表单 对方账户的input没有name属性
		你自己悄悄提前写好了一个具有默认的并且是隐藏的具有name属性的input
	模拟钓鱼网站

 

form表单中csrf校验

<form action="" method="post">
    {% csrf_token %}
    old_password:<input type="text" name="old_password">
    new_password:<input type="text" name="new_password">
    <input type="submit">

</form>

 

AJAX csrf校验

第一种方式:自己手动获取

$('#d1').click(function () {
        $.ajax({
            url:'',
            type:'post',
            // 第一种方式 自己手动获取
data:{'username':'jason','csrfmiddlewaretoken':$('input[name="csrfmiddlewaretoken"]').val()},
            success:function (data) {
                alert(data)
            }
        })
    })

第二种方式:利用模板语法

$('#d1').click(function () {
        $.ajax({
            url:'',
            type:'post',
           // 第二种方式 利用模板语法
            data:{'username':'jason','csrfmiddlewaretoken':'{{ csrf_token }}'},
            success:function (data) {
                alert(data)
            }
        })
    })

第三种方式:通用方式 引入外部js文件 官网提供的方式

$('#d1').click(function () {
        $.ajax({
            url:'',
            type:'post',
		   ##<script src="{% static 'myset.js' %}"></script>
            success:function (data) {
                alert(data)
            }
        })
    })

js文件拷贝:配置在静态文件中

function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');

function csrfSafeMethod(method) {
  // these HTTP methods do not require CSRF protection
  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

$.ajaxSetup({
  beforeSend: function (xhr, settings) {
    if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
      xhr.setRequestHeader("X-CSRFToken", csrftoken);
    }
  }
});

 

CSRF相关装饰器

from django.views.decorators.csrf import csrf_exempt, csrf_protect
from django.utils.decorators import method_decorator

@csrf_exempt  # 不校验csrf
@csrf_protect # 校验

使用方法

在视图函数头上装


# @csrf_exempt  # 不校验csrf
# @csrf_protect # 校验, 先注释中间件scrf
def transfer(srequest):
	return HttpResponse('transfer')

CBV 只能在dispatch加

  

class MyHome(View): 
    @method_decorator(csrf_protect)  # 第三种 类中所有的方法都装
    def dispatch(self, request, *args, **kwargs):
        return super().dispatch(request,*args,**kwargs)
    def post(self,request):
        return HttpResponse('post')
    def get(self,request):
        return HttpResponse('get')

 

 

 

参考:https://www.cnblogs.com/guyouyin123/p/12194181.html

符号会飞
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django CSRF跨站请求伪造防护过程解析
09-18
CSRF跨站请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网站发起对受害者的合法网站的请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
Django CSRF防护
运维@小兵的博客
01-27 553
文章目录一、CSRF是什么二、CSRF工作原理三、使用CSRF防护机制四、取消CSRF防护机制 参考视频:https://ke.qq.com/course/320021 一、CSRF是什么 CSRF(Cross Site Request Forgery):跨站请求伪造,实现的原理是CSRF攻击者在用户已经登录目标网站之后,诱使用户访 问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 二、CSRF工作原理 Django怎么验证一个请求是不是CS
[Django] CSRF应用以及加装饰器
Moke
09-18 598
Form表单添加 {% csrf_token %} 全站禁用 setting中注释csrf既可以禁用; # 'django.middleware.csrf.CsrfViewMiddleware', 局部禁用 'django.middleware.csrf.CsrfViewMiddleware',# setting不注释 #导入csrf_exempt from django.views...
ajax请求设置token,Ajax请求如何设置csrf_token(示例代码)
weixin_34161139的博客
08-05 773
1. 方式一通过获取隐藏的input标签中的csrfmiddlewaretoken值,放置在data中发送。$.ajax({url: "/cookie_ajax/",type: "POST",data: {"username": "yang","password": 123,// 使用jQuery取出csrfmiddlewaretoken的值,拼接到data总"csrfmiddlewaretoke...
ajax中发送csrf的方法,(django环境)
weixin_30384031的博客
11-06 64
获取csrf随机字符串的方法: 通过其name=“csrfmiddlewaretoken”,来获取如:1document.getElementsByName("csrfmiddlewaretoken")[0] 2 $('input[name="csrfmiddlewaretoken"]') 或$('[name="csrfmiddlewaretoken"]')3 或者获得cookie中...
csrf 功能 及 csrf装饰器使用
anzhilan7823的博客
07-01 445
目录 csrf 功能 及 csrf装饰器使用 简单了解csrf 防范措施 了解更多csrf点击 djangocsrf csrf装饰器 csrf功能(执行流程) csrf 功能 及 csrf装饰器使用 简...
Django中如何防范CSRF跨站请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF跨站请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
django版本区别/与版本匹配
winterye12的博客
08-10 1932
一、区别 1.django 1.x路由层使用url方法 django 2.x和3.x版本使用path方法 url() 第一个参数支持正则 path()第一个参数是不支持正则的 可以使用re_path替代url() from django.urls import re_path # django2.0中的re_path #不建议导入url,不能区分版本 #from django.conf.urls import url # 在djan...
django21:admin后台管理\media配置\图片防盗链\暴露后端资源\路由分发\时间分类
winterye12的博客
05-31 495
admin后台管理 1.到应用下的admin.py注册模型表 from django.contrib import admin from blog import models # Register your models here. admin.site.register(models.UserInfo) admin.site.register(models.Article) admin.site.register(models.Blog) admin.site.register(models.T
django11:自动序列化/批量插入数据/分页器
winterye12的博客
04-17 383
自动序列化 借助serializers帮你自动完成序列化 from app01 import models from django.core import serializers def ab_se(request): user_queryset = models.Userinfo.objects.all() #原始方法 user_list = [] for user_obj in user_queryset: user_list.append({
django项目开发1:搭建虚拟环境
winterye12的博客
06-29 266
需求 不同项目依赖不同模块版本,不能共用一套环境,虚拟环境。 在系统的python环境安装 安装 pip3 install virtualenv pip3 install virtualenvwrapper-win 环境变量 # 配置环境变量: # 控制面板 => 系统和安全 => 系统 => 高级系统设置 => 环境变量 => 系统变量 => 点击新建 => 填入变量名与值 变量名:WORKON_HOME 变量值:自定义存放虚拟环境的绝对路径 eg: WO
django20:BBS网页设计/注册功能/验证码代码
winterye12的博客
05-22 252
表设计
django12:form 组件/渲染标签/数据校验/钩子函数/
winterye12的博客
04-20 236
基本用法 from django import forms # 自己写一个类 class RegForm(forms.Form): username= forms.CharField(min_length=3,max_length=8, label="用户名") password = forms.CharField(min_length=3,max_length=8,label="密码") email=forms.EmailField() 1.校验数据为字典形式。 .
Django05-1: 有名分组、无名分组与反向解析
winterye12的博客
03-17 207
有名、无名分组 分组正则表达式,加小括号 url(r'^test/(\d+)', views.test), def test(request,xx): print(xx) return HttpResponse("OK") 无名分组 将括号正则表达式匹配的内容,当作位置参数传递到后面的视图函数 有名分组 正则表达式起一个别名 url(r'^testadd/(?P<year>\d+)', views.testadd), d...
Django03: django加入APP
winterye12的博客
09-28 188
使用命令在已有project创建 1.创建 在manage.py同级运行命令 python manage.py startapp app01 2.django中加入app 在settings.py里的INSTALLED_APPS加入'app01.apps.App01Config', INSTALLED_APPS = [ 'django.contrib.admin', ...
Django09:图书管理系统笔记/choices用法/ MTV与MVC模型/多对多三种创建方式
winterye12的博客
03-27 160
图书管理系统笔记 redirect括号内可以直接写url 也可以直接写别名 但如果别名需要参数,必须使用reverse解析。 choices用法 使用场景:能列举完全的数据 #使用方法:xxx_choice #1. get.xxx_display #2. 如果超出范围,则显示原来的数据,如3,4 #3. 字段类型保证和列举类型一致 #类似枚举 class UserInfo(model.Model):   name = models.CharField()   addr_choi...
Django10:Ajax介绍/发送数据/SweetAlert
winterye12的博客
04-15 159
Ajax 异步提交 局部刷新 发送方式 1. 浏览器输入url,按enter get 2.a标签href属性 get 3.form表单 get/post 4. ajax get/post ajax 不是编程语言,是先有标准的新方法。 只学习jQuery封装之后的版本(不学原生) ...
Django04: ORM配置与使用MySQL数据库
winterye12的博客
11-20 152
配置: 1.手动创建数据库。 create database testDB 2.在Django项目的settings.py文件中,配置数据库连接信息: DATABASES = { "default": { "ENGINE": "django.db.backends.mysql", "NAME": "你的数据库名称", # 需要自己手动创建数据...
Django中的CSRF(跨站请求伪造)
最新发布
05-19
CSRF(Cross-Site Request Forgery)即跨站请求伪造,是一种常见的Web攻击方式。攻击者通过伪造用户的请求,来实现恶意操作,例如:以用户的名义发帖、发私信、盗取用户信息等。Django中提供了内置的CSRF防护机制,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值