django 1.8 官方文档翻译: 8-3 点击劫持保护

最新推荐文章于 2024-04-22 10:00:48 发布
最新推荐文章于 2024-04-22 10:00:48 发布
阅读量3.9w 收藏 1
点赞数 1
分类专栏: django 文章标签: django

点击劫持保护

点击劫持中间件和装饰器提供了简捷易用的,对点击劫持的保护。这种攻击在恶意站点诱导用户点击另一个站点的被覆盖元素时出现,另一个站点已经加载到了隐藏的frameiframe中。

点击劫持的示例

假设一个在线商店拥有一个页面,已登录的用户可以点击“现在购买”来购买一个商品。用户为了方便,可以选择一直保持商店的登录状态。一个攻击者的站点可能在他们自己的页面上会创建一个“我喜欢Ponies”的按钮,并且在一个透明的iframe中加载商店的页面,把“现在购买”的按钮隐藏起来覆盖在“我喜欢Ponies”上。如果用户访问了攻击者的站点,点击“我喜欢Ponies”按钮会触发对“现在购买”按钮的无意识的点击,不知不觉中购买了商品。

点击劫持的防御

现代浏览器遵循X-Frame-Options协议头,它表明一个资源是否允许加载到frame或者iframe中。如果响应包含值为SAMEORIGIN的协议头,浏览器会在frame中只加载同源请求的的资源。如果协议头设置为DENY,浏览器会在加载frame时屏蔽所有资源,无论请求来自于哪个站点。

Django提供了一些简单的方法来在你站点的响应中包含这个协议头:

  • 一个简单的中间件,在所有响应中设置协议头。
  • 一系列的视图装饰器,可以用于覆盖中间件,或者只用于设置指定视图的协议头。

如何使用

为所有响应设置X-Frame-Options

要为你站点中所有的响应设置相同的X-Frame-Options值,将'django.middleware.clickjacking.XFrameOptionsMiddleware'设置为 MIDDLEWARE_CLASSES

MIDDLEWARE_CLASSES = (
    ...
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    ...
)

这个中间件可以在startproject生成的设置文件中开启。

通常,这个中间件会为任何开放的HttpResponse设置X-Frame-Options协议头为SAMEORIGIN。如果你想用 DENY来替代它,要设置X_FRAME_OPTIONS

X_FRAME_OPTIONS = 'DENY'

使用这个中间件时可能会有一些视图,你并不想为它设置X-Frame-Options协议头。对于这些情况,你可以使用一个视图装饰器来告诉中间件不要设置协议头:

from django.http import HttpResponse
from django.views.decorators.clickjacking import xframe_options_exempt

@xframe_options_exempt
def ok_to_load_in_a_frame(request):
    return HttpResponse("This page is safe to load in a frame on any site.")

为每个视图设置 X-Frame-Options

Django提供了以下装饰器来为每个基础视图设置X-Frame-Options协议头。

from django.http import HttpResponse
from django.views.decorators.clickjacking import xframe_options_deny
from django.views.decorators.clickjacking import xframe_options_sameorigin

@xframe_options_deny
def view_one(request):
    return HttpResponse("I won't display in any frame!")

@xframe_options_sameorigin
def view_two(request):
    return HttpResponse("Display in a frame if it's from the same origin as me.")

注意你可以在中间件的连接中使用装饰器。使用装饰器来覆盖中间件。

限制

X-Frame-Options协议头只在现代浏览器中保护点击劫持。老式的浏览器会忽视这个协议头,并且需要 其它点击劫持防范技巧

支持 X-Frame-Options 的浏览器

  • Internet Explorer 8+
  • Firefox 3.6.9+
  • Opera 10.5+
  • Safari 4+
  • Chrome 4.1+

另见

浏览器对X-Frame-Options支持情况的完整列表

译者:Django 文档协作翻译小组,原文:Clickjacking protection

本文以 CC BY-NC-SA 3.0 协议发布,转载请保留作者署名和文章出处。

Django 文档协作翻译小组人手紧缺,有兴趣的朋友可以加入我们,完全公益性质。交流群:467338606。

绝不原创的飞龙
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django-suit-locale:django-suit的翻译
05-17
并删除了重复项与支持的软件包进行比较,并删除重复项离开了不维护自己翻译过程的翻译离开了来自维护包的翻译,但我没有找到它们套餐支持Django还原叉并翻译django-cms 在Transifex上进行翻译Django文件管理...
django @csrf_exempt
v791106444的博客
05-23 3123
在views.py中 from django.views.generic.base import View class ueditor(View): @csrf_exempt def post(self, request): print(request.POST.get('abc', "")) return render(request, "...
django之csrf_exempt解决跨域请求的问题
runwuwushengxiyu的博客
04-12 322
django之csrf_exempt解决跨域请求的问题
“Failed to load response data“ django@xframe_options_exempt 网站不许 Firefox 显示被嵌入的网页
唐心的博客
04-06 682
python django ajax chrome 显示 failed to xxx 。以为ajax 数据量大。 设置ajax 的timeout 没有用 换firefox 网站不许 Firefox 显示被嵌入的网页 。哦。(firefox nb) django官方 xframe_options_exempt 在view的视图方法上注解 ok.安全问题。 ...
【补充】Django框架之IFrame中的跨域问题
Chimengmeng的博客
07-21 1393
【一】iframe 中的跨域问题详解 在网页开发中 浏览器会应用跨域安全策略,限制不同域名之间的交互。 跨域问题指的是如果一个网页的脚本尝试访问另一个域名下的资源或与其通信时,浏览器会拒绝这样的请求。 其中,使用 <iframe> 标签嵌套其他网页是一种常见的前端技术。 然而,由于 <iframe> 中的内容与包含它的页面处于不同域名下,可能会导致跨域问题。 下面...
Django中间件拦截未登录url
angchixian6300的博客
09-03 1010
1.利用装饰器在视图中拦截未登录的url @login_required(login_url='/user/login/') def homepage(request): pass 这种方法适合于程序中只有少数几个需要登录拦截的url。 2. 利用中间件技术拦截未登录的url 2.1 在settings.py添加MIDDLEWARE设置:middlewa...
django-设置X-Frame-Options响应头防止点击劫持攻击
adminwg的博客
10-16 1744
当恶意网站欺骗用户点击另一个网站的隐藏元素时,就会发生这种类型的攻击,该元素已被加载到一个隐藏的框架或 iframe 中。现代浏览器支持X-Frame-OptionsHTTP 头,它表明是否允许在框架或 iframe 中加载资源。如果你想为这个头设置任何其他的值,可以在配置文件中设置其他的值。HTTP 头只有在响应中还没有出现的情况下,才会被中间件或视图装饰者设置。默认情况下,该中间件将为每个传出的响应设置。”按钮,并在不知情的情况下购买该商品。要为你的网站的所有响应设置相同的。”按钮,并在一个透明的。
Python入门自学进阶-Web框架——13、Django实践小项目3
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
06-10 221
左右互选框,iframe模拟实现JSONP
【十四】Django框架之中间件
Chimengmeng的博客
07-17 274
【引言】 在前面的博客中已经学会了给视图函数加装饰器来判断是用户是否登录,把没有登录的用户请求跳转到登录页面。 我们通过给几个特定视图函数加装饰器实现了这个需求。但是以后添加的视图函数可能也需要加上装饰器,这样是不是稍微有点繁琐。 下面的内容即将让我们通过一些特点的方式实现控制全局的效果,运筹帷幄于室内(室外太热~~~) 【一】中间件介绍 官方的说法: 中间件是一个用来处理Django的...
Django middleware django.middleware.clickjacking.XFrameOptionsMiddleware
userguanguan的专栏
07-24 4776
from django.conf import settings class XFrameOptionsMiddleware(object): """ Middleware that sets the X-Frame-Options HTTP header in HTTP responses. Does not set the header if it's alread
Django14:中间件
king_weng的博客
06-16 222
中间件是Django请求/响应处理的钩子框架。它是一个轻量级的、低级的“插件”系统,用于全局改变django的输入或输出。中间件以类的形式体现。每个中间件组件负责做一些特定的功能。例如,Django包含一个中间组件AuthenticationMiddleware,它使用会话将用户与请求关联起来。 中间件须继承自django.utils.deprecation.MiddlewareMixin类。中间件类需实现下列五个方法中的一个或多个:(a)precess_request(self, reque
Django1.8官方文档(中文版)
12-10
此版本为Html模式的官方文档,全中文版,完美翻译,适合学习的权威Django1.8官方文档,可放心使用!
django-migrations-graph:Django-admin命令以显示具有依赖项的迁移
04-28
Django 1.8以上 快速开始 安装django-migrations-graph: pip install django-migrations-graph 将其添加到您的INSTALLED_APPS: INSTALLED_APPS = ( ... ' migraph ', ... ) 截屏 运行测试 该代码实际有效吗...
django-inplaceedit-bootstrap:django-inplaceedit与bootstrap 3的集成
05-12
内容 django-inplaceedit与bootstrap 3的集成它根据GNU较宽松通用公共许可证的条款进行分发。 没有Tyrdall的帮助,这个鸡蛋是不可能的 要求django-inplaceedit (== 1.4.1) 引导程序(== 3.3.5) django-inplace-...
django-rest-framework-role-filters:django-rest-framework的简单角色过滤
02-05
django-rest-framework-role-filters:django-rest-framework的简单角色过滤
Django模型的属性与方法
最新发布
brucexia的专栏
04-22 924
Django模型中最重要的属性就是Manager,它是Django模型和数据库查询操作之间的接口,并且被用作从数据库当中获取实例的途径。Django模型中还有一个关于模型方法的集合,其中包含了一些可能是自定义的数据库行为,比如save()方法和delete()方法就是两个最有可能定制的方法。在第07~24行代码中,定义了PersonAge类的模型方法person_age_status(),返回具体年龄段的信息。本节介绍Django模型的属性和方法,以及如何重写之前定义的模型方法等内容。
Django模型的字段选项
brucexia的专栏
04-18 883
在第14~18行代码中定义了一个字符型域变量year_in_college,将choices值定义为变量YEAR_IN_COLLEGE_CHOICES,默认值为FRESHMAN。在第08~13行代码中定义了一个choices类型的变量YEAR_IN_COLLEGE_CHOICES,其中包含了4个元组,使用了第04~07行代码中定义的变量。null的默认值为False,如果设置为True,则当该字段为空时,Django模型会将数据库中的该字段设置为NULL。如果未指定,则使用该域的名称。
Django模型的字段类型
brucexia的专栏
04-18 907
字段类型用以指定数据库的数据类型,例如Integer、VARCHAR和TEXT这几种比较常用的数据类型。在Django模型定义中,字段类型均派生自Field类的实例。Django框架中的Field类是一个抽象类,专门用于定义数据库表的列表项。Django模型中最重要并且也是唯一必须执行的就是字段定义。字段在类中进行定义,对应于实体数据库的字段。另外,定义模型字段名时为了避免冲突,不建议使用模型API中已经定义的关键字。Django模型一共内置了多种字段类型,基本能够满足一般的设计需求。
Python Project Getting started with Django
u011868279的博客
04-18 1205
Python Project Getting started with Django
-bash: django-admin: command not found
10-08
您的问题是关于Django-admin命令找不到的问题。这可能是由于Django没有正确安装或没有添加到系统路径导致的。您可以通过以下步骤来解决这个问题: 1. 确保您已经在您的系统中正确地安装了Django。您可以使用以下命令检查Django的版本: ``` python -m django --version ``` 2. 如果Django未安装,请使用以下命令安装它: ``` pip install django ``` 3. 确保Django安装后,您需要将Django-admin所在的路径添加到系统的环境变量中。首先,找到您的Django-admin所在的路径。 4. 对于全局安装的Django,您可以使用以下命令找到其安装路径: ``` which django-admin ``` 5. 对于虚拟环境中安装的Django,您可以使用以下命令找到其安装路径: ``` echo $VIRTUAL_ENV/bin/django-admin ``` 6. 将找到的路径添加到系统的环境变量中。您可以编辑 ~/.bashrc 文件并将以下行添加到文件末尾(如果使用的是Bash shell): ``` export PATH=$PATH:/path/to/django-admin ``` 7. 保存文件并执行以下命令使更改生效: ``` source ~/.bashrc ``` 现在,您应该能够正常使用django-admin命令了。 如果您还有其他相关问题,请告诉我。 相关问题: 1. 如何创建一个Django项目? 2. 如何运行Django开发服务器? 3. 如何在Django中创建一个应用程序?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值