我理解的django的CSRF防御!

最新推荐文章于 2021-06-02 10:13:20 发布
最新推荐文章于 2021-06-02 10:13:20 发布
阅读量517 收藏
点赞数
分类专栏: web相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wjy397/article/details/49150997
版权

我首先将django的settings的    'django.middleware.csrf.CsrfViewMiddleware',中间件关闭django的CSRF防御系统!

那么跨域下在chrome中POST请求一个地址:'http://127.0.0.1:8000/loginSystem',返回结果是成功的!

开启django的CSRF防御中间件,再次跨域POST,收到的是403错误,被拦击!

此时我应用内部发送同一请求,仍然是403,view层加入修饰器ensure_csrf_cookie,再次请求,返回成功!

清除缓存重新实验,先用内部应用发送POST,成功,在同一浏览器里打开测试脚本,执行POST跨域请求(原理上是带着刚才成功的COOKIES),403拦击!

内部应用请求会返回:

Set-Cookie:
csrftoken=y5OEQ7vLjR23SbM1Kyyl2qopJFl7G06n;

来设置本地cookie的token。

下次请求会带着cookie:

Cookie:
csrftoken=y5OEQ7vLjR23SbM1Kyyl2qopJFl7G06n;

一起请求,应用内的请求带着cookie返回成功,此时脚本同样带着这个cookie测试请求,依然403拦击!原理上说应该是服务器token值刷新。

但是再次应用内发送请求。set-Cookie居然没变,依然是这个值,但是测试脚本仍然403拦击!搞不明白!

清除缓存后,set-cookie更新!迷惑!

---------------------------------------------------------------

上文提到的脚本post没有成功的原因是没有在请求头里加入token信息,只携带cookie是不够的,加入请求头之后,请求成功!这样的话猜测就是服务器应该在接受到第一个请求成功后就更新token,而我没有设置!后续解决更新

--------------------------------------------------------------------

清除缓存后,再发请求set-cookie值改变,其实是存在本地的cookie被清除了,所带的sessionid被清空,服务器认为是新的会话,所以重建session会话,csrftoken被重置,按现在的理解,仅一个登录session内有效,新的登录session会更新它

-------------------------------------------------------------------------------

手艺人123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django如何防止csrf(跨站请求伪造)
weixin_41918841的博客
09-01 707
什么是CSRF 什么是CSRF 下面这张图片说明了CSRF的攻击原理: Django如何防止CSRF(跨站请求伪造) Django中如何防范CSRF Django使用专门的中间件(CsrfMiddleware)来进行CSRF防护。具体的原理如下: 1.它修改当前处理的请求,向所有的 POST 表单增添一个隐藏的表单字段,使用名称是 csrfmiddlewaretoken ,值为当前...
Django CSRF处理
GrandG7的博客
11-28 290
1、setting中默认在MIDDLEWARE中设置了django.middleware.csrf.CsrfViewMiddleware,官方文档建议不要把它删了。 2、GET请求(安全的操作)不要做GET之外的操作(side effect free)。POST,PUT,DELETE方法(不安全的操作),按照以下方法来做。3、<form>表单后一律加上{% csrf_token %},这样在网页加
如何面试Python后端工程师?
u013119722的专栏
11-04 834
吃午饭的时候我就一直在想这个问题,我觉得重点不是Python而是后端工程师,因为Python只是系统的一部分,linux基础操作要熟吧,sql要懂吧,消息队列要知道吧,git要熟悉吧……木桶理论,每一环都不能落下,精通其中一两环就更好了。基础功扎实,新东西学得快,代码写得溜,命令敲得顺,bug解的好,妈妈再也不用担心我天天加班了~~~ 一.语言 1.推荐一本看过最好的python书籍?
Django: csrf防御机制 以及解决方法
harry
09-05 1145
原文链接:点击打开链接
Django 安全策略的 7 条总结!
weixin_34099526的博客
12-31 260
Florian Apolloner 发言主题为 Django 安全,其中并未讨论针对 SSL 协议的攻击--因为那不在 Django 涉及范围内。(如感兴趣可参考 https://www.ssllabs.com/ssltest/)。 如发现 Django 的安全漏洞,请参阅 https://djangoproject.com/security,并通过此邮...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
总之,理解并正确使用DjangoCSRF防护机制是开发安全Web应用的关键步骤。确保在所有可能的POST请求中包含CSRF令牌,并更新你的前端代码以处理CSRF保护,可以有效地防止CSRF攻击,保护用户数据的安全。
Django-2.0.4 Django-2.0.4
05-17
11. **安全性**:Django提供了许多安全特性,如防止跨站脚本攻击(XSS)、跨站请求伪造(CSRF)保护、SQL注入防御等。 12. **国际化与本地化**:Django支持多语言,可以通过设置和翻译文件实现网站内容的国际化和...
python的django框架搭建的后台接口
最新发布
01-18
10. **安全性**:Django内置了CSRF保护、XSS防护、SQL注入防御等安全措施,确保应用程序的安全性。 在`django-back-end-project-master`这个项目中,你可以找到整个Django后端的组织结构,包括settings.py(项目...
Django-2.1.1.tar
09-29
Django注重安全性,2.1.1版本包含针对各种潜在安全威胁的防护措施,如CSRF(跨站请求伪造)保护、XSS(跨站脚本)防御和SQL注入预防。开发者还可以利用内置的登录和权限管理系统,轻松实现用户认证和授权。 7. **...
Python基于Django的手办交易系统源码.zip
08-29
对于学习Python Web开发的初学者来说,这是一个极好的实践案例,有助于理解Django框架的精髓和Web应用的开发流程。同时,对于有一定经验的开发者,此项目也能提供宝贵的参考,帮助他们在实际项目中更好地应用Django...
DjangoCSRF 保护机制
weixin_34348174的博客
12-02 201
django 有多久,我跟 csrf 这个概念打交道就有久了。 每次初始化一个项目时都能看到 django.middleware.csrf.CsrfViewMiddleware 这个中间件 每次在模板里写 form 时都知道要加一个 {% csrf_token %} tag 每次发 ajax POST 请求,都需要加一个 X_CSRFTOKEN 的 header 但是一直我都是...
Django-常见的web攻击,及如何防止
Jamin2018的博客
01-15 2265
一.sql注入攻击及防范 1.危害 sql注入攻击的危害:非法读取、篡改、删除数据库中的数据盗取用户的各种敏感信息,获取利益通过修改数据库来修改网页上的内容注入木马等等 2.防范 django的orm查询和form表单验证都过滤了sql注入攻击 3.漏洞原理 若用原生的查询方式,可以通过输入单引号 1=1(如:‘OR 1=1#)等特殊字符使原生的SQL语句代码被改变
Django CSRF设置方法
04-19 2461
Forbidden (403) CSRF verification failed. Request aborted. Help Reason given for failure: CSRF token missing or incorrect. In general, this can occur when there is a genuine Cross Site
嗅探,arp欺骗,会话劫持与重放攻击
wjy397的专栏
12-03 4051
http://blog.chinaunix.net/uid-26349264-id-3251986.html 前言 嗅探,arp欺骗,会话劫持与重放攻击之间的关系可谓相辅相成,这次针对web安全把它们放在一起来讲解。 10.1 Sniffer Sniffer(嗅探器)程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太网卡)置为杂乱(promiscuous)模式状态的工具
IntelliJ IDEA 15 破解方法!
wjy397的专栏
02-17 2871
1、复制JetbrainsCrack-2.4.jar到D盘根目录 2、在idea安装目录/bin/idea.exe.vmoptions和idea64.exe.vmoptions追加一行"-javaagent:D:/JetbrainsCrack-2.4.jar",注意,文件最后一定要有一行空白行 3. 然后再去这个网站算个号 http://idea.lanyus.com 4.重启ide
微信小程序使用weui扩展组件踩坑
wjy397的专栏
01-18 1157
https://www.cnblogs.com/panda-programmer/p/13138588.html 最近在做微信小程序,引入weui的时候踩坑了好久,这里记录一下遇到的问题。 微信官方文档给了两种weui引入方式: 通过useExtendedLib 扩展库的方式引入,这种方式引入的组件将不会计入代码包大小。 可以通过npm方式下载构建,npm包名为weui-miniprogram 但是注意!!!如果使用扩展组件的话必须使用npm的安装方式安装weui 以使用tabs选项卡组件为例..
如何对付网络爬虫 - JavaEye和网络爬虫斗争之路
wjy397的专栏
11-02 1108
转载地址:http://www.360doc.com/content/15/1102/09/19561189_510127336.shtml 由于搜索引擎的泛滥,网络爬虫如今已经成为全球互联网的一大公害。除了专门做搜索的Google,Yahoo,微软,百度以外,几乎每个大型门户网站都有自己的搜索引擎,搜狐,腾讯,网易。再加上十分流氓的社区搜索奇虎等等,国内大大小小叫得出来名字得就几十家,还有各种
flutter上传图片到华为云obs
wjy397的专栏
06-02 518
import 'dart:io'; import 'package:dio/dio.dart'; import 'package:flutter/cupertino.dart'; import 'package:flutter/material.dart'; import 'package:flutter_screenutil/screenutil.dart'; import 'package:image_pickers/Media.dart'; import 'package:oktoast/okto.
django CSRF verification failed. Request aborted.
06-15
这个错误通常是由于 DjangoCSRF 保护机制导致的。DjangoCSRF 保护是一种安全机制,用于防止恶意网站利用用户的身份在你的网站上执行一些操作。在 Django 中,当用户提交表单时,Django 会生成一个 CSRF 令牌...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值