Django-默认csrf防护原理剖析

于 2022-01-15 20:52:54 发布
阅读量596 收藏
点赞数
分类专栏: dajngo python 文章标签: django python 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaodsadwwq/article/details/122515420
版权

文章目录

Django 默认csrf 防护原理剖析

防护形式

  • 在我们提交表单的时候 如果没有提交csrf的值会发生csrf验证错误,我们需要做如下两部
  • 在模板文件 表单中添加 csrf_token的值
    <form action="">
        
        <button type="button"  id="login">登录</button>
        {% csrf_token %} # 这里加上
    </form>
  • 在发送ajax 请求时 添加上 cookie中 csrf的值
$.ajax({
                url:'',
                type:'post',
                dataType:'json',
                data:{'old_pwd':old_pwd_val, 'new_pwd':new_pwd_val},
                headers:{"X-CSRFToken":csrftoken},
                success:function(dat){              
                },
                error:function (){
                    alert("失败");
                }
        });

服务器从 cookies 中获取 csrf_token 和 form表单中获取 csrf_token, 我们会发现 form 表单每次一刷新值就会变化,但是cookie中csrf_token 在登录时才会变化, 那么 这两种不相等 是如何验证的呢?
我们可以看下 django 中间价 csrf的源码位置在python3.5/site-packages/django/middleware/csrf.py


def _salt_cipher_secret(secret):
    """
    Given a secret (assumed to be a string of CSRF_ALLOWED_CHARS), generate a
    token by adding a salt and using it to encrypt the secret.
    """
    salt = _get_new_csrf_string()
    chars = CSRF_ALLOWED_CHARS
    pairs = zip((chars.index(x) for x in secret), (chars.index(x) for x in salt))
    cipher = ''.join(chars[(x + y) % len(chars)] for x, y in pairs)
    return salt + cipher


def _unsalt_cipher_token(token):
    """
    Given a token (assumed to be a string of CSRF_ALLOWED_CHARS, of length
    CSRF_TOKEN_LENGTH, and that its first half is a salt), use it to decrypt
    the second half to produce the original secret.
    """
    salt = token[:CSRF_SECRET_LENGTH]
    token = token[CSRF_SECRET_LENGTH:]
    chars = CSRF_ALLOWED_CHARS
    pairs = zip((chars.index(x) for x in token), (chars.index(x) for x in salt))
    secret = ''.join(chars[x - y] for x, y in pairs)  # Note negative values are ok
    return secret

_salt_cipher_secret 用来产生 csrf_token, 首先 每个用户登录的时候 会随机生成一个 12 位的 secret,
然后 salt 也是随机生成的, 然后用 salt 和 secret 生成cipher, 最后的 csrf_token = salt + cipher.
值得一说的是 用户登录产生的 secret 虽然是随机的,但是在用户退出和过期之前,这个 secret 是不会变化的. 并且生成 csrf_token = salt + cipher 这个过程是可以还原的,就是我们的 _unsalt_cipher_token 函数.
接收 csrf_token的值, 上一步产生的csrf_token = salt + cipher, 那么根据 csrf_token 和 salt 就可以还原出secret.

结论:

虽然 form每次csrf_token的会刷新 但都是使用那个用户的 secret 生成的. csrf_token的中前半部分是salt ,所以在已知 csrf_token 的值的情况下 可以还原出 唯一的 secret. 因为 无需在意 form 表单中的 csrf_token 的值是如何变化,因为比对的是 secret 而不是 csrf_token 的值.

孔丘闻言
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
5 - django-csrf-session&cookie
大欣的IT之路
03-28 537
文章目录1 CSRF跨站请求伪造1.1 CSRF攻击介绍及防御1.2 防御CSRF攻击1.2.1 验证 HTTP Referer 字段1.2.2 在请求地址中添加 token 并验证1.2.3 在 HTTP 头中自定义属性并验证1.2.4 django csrf token1.3 form表单提交1.4 ajax提交1.5 CSRF装饰器2 Cookie&Session2.1 cookie...
Python Django框架防御CSRF攻击的方法分析
09-18
这是Django默认开启的,如示例所示,位于`django.contrib.sessions.middleware.SessionMiddleware`之后,`django.contrib.auth.middleware.AuthenticationMiddleware`之前。 ```python MIDDLEWARE_CLASSES = ( '...
加密里面的salt_SALT的组合加密方式
weixin_39745724的博客
12-20 447
前段时间很多网站被撞库了,我们也不例外。之前用的密码一次MD5加密的算法已经不安全了,因为有太多的地方(http://www.cmd5.com/)可以暴力爆破MD5的加密算法。为了解决这个安全问题,决定对用户密码的加密强度进行改进,将原先的唯一MD5方式进行提升,对密码进行两次的MD5加密,在进行第二次MD5加密的时候,对第一次的MD5的值再加点盐(SALT)。因为煮菜的时候每次放的盐都是不一样的...
Django管理后台之登录
热门推荐
JunChow
09-20 1万+
Django提供了一套身份验证和授权的权限系统,允许验证用户凭证,并定义每个用户允许执行的操作。 权限系统框架包括了用户和分组的内置模型,用于登录用户的权限,指定用户是否可以执行任务、表单、视图,以及查看限制内容的工具。 Django身份验证系统为通用设计因此不提供其它Web身份验证系统中所提供的功能,对于某些常见问题可作为第三方软件包提供,比如限制登录尝试和针对第三方的身份验证 环境搭建 操作...
Django 缓存,中间件,CSRF防护
ambition_star的博客
01-20 185
目录 文章目录目录缓存什么是缓存?为什么使用缓存?使用缓存场景:Django中设置缓存Django中使用缓存浏览器中的缓存强缓存协商缓存中间件 Middleware跨站请求伪造保护 CSRF 缓存 什么是缓存? 缓存是一类可以更快的读取数据的介质统称,也指其它可以加快数据读取的存储方式。一般用来存储临时数据,常用介质的是读取速度很快的内存 为什么使用缓存? 视图渲染有一定成本,对于低频变动的页面可...
DjangoCSRF防御全过程解析以及中间件作用机制
Deft_MKJing的博客
05-21 2415
前言 XSS和CSRF攻击的基础原理这里就不介绍了,之前写了一篇文章单独介绍的很详细了,传送门,这里我们直接以Django为分析对象,分析中间件csrf生成原理以及防范Token如何运作的。 CSRF中间件 官方文档介绍的也是表面,本文通过源码层面直接分析流程 官方文档针对CSRF的介绍以及参数配置 传送门 Settings文件 Setting.py中有茫茫多的配置选项。传送门 Django全流程...
Django----高级视图
Small-J
07-14 4321
文章目录Django限制请求方法常用的请求method限制请求装饰器页面重定向永久重定向临时重定向HttpRequest对象WSGIRequest对象WSGIRequest对象常用属性WSGIRequest对象常用方法HttpResponse对象常用属性常用方法JsonResponse类类视图ViewTemplateViewListViewPaginator 和Page类Paginator常用属性和方法Page常用属性和方法 Django限制请求方法 常用的请求method GET请求:GET请求一般用来
Django CSRF Bypass 漏洞分析(CVE-2016-7401)
Fly_鹏程万里
03-16 1084
0x00 漏洞概述 1.漏洞简介 Django是一个由Python写成的开源Web应用框架。在两年前有研究人员在hackerone上提交了一个利用Google Analytics来绕过DjangoCSRF防护机制的漏洞(CSRF protection bypass on any Django powered site via Google Analytics),通过该漏洞,当一个网站使用了D...
Python自动化运维 - Django(三)CSRF - Cookie&Session
大欣的IT之路
03-20 185
Python自动化运维 - Django(三)CSRF - Cookie&amp;Session CSRF跨站请求伪造   CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成...
Django进阶:CSRF源码分析,分页器,中间件,缓存,信号详解
Zijian Su的博客
03-04 402
文章目录引子CSRFCSRF是啥子玩意啊CSRF有啥作用中间件中间件是啥玩意中间件干啥用的自定义中间件缓存缓存是什么以及干啥的Django支持的缓存缓存的应用 引子 比如我想和我的某个同学去吃饭,但是我和他前面隔着好几排人,我要找到她,那我就得穿过这几排人 CSRF CSRF是啥子玩意啊 它叫防跨站请求伪造,之前很多同学刚初学Django,可能直接把CSRF中间件给去掉,或者在表单上加个{% c...
django-tools:各种django工具
02-04
6. **安全与权限管理**:可能包括用户权限检查、CSRF(跨站请求伪造)防护工具,以及密码哈希和验证的辅助工具。 7. **静态文件和媒体文件管理**:Django 默认提供了静态文件和媒体文件的处理,但 django-tools ...
django-admin-honeypot:虚假的Django admin登录屏幕页面
02-05
Django还提供了一套内置的安全功能,如CSRF防护、XSS防御和用户身份验证系统。 ### 2. Django admin后台 在Django项目中,admin后台是一个强大的内置功能,允许开发者方便地管理模型实例,如添加、编辑和删除数据...
django框架中间件原理与用法详解
09-18
首先,我们来看一下Django中间件的默认配置。在`settings.py`文件中,`MIDDLEWARE`列表定义了应用中的所有中间件。以下是一段示例: ```python MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', ...
网易云爬虫-爬取单曲和歌单所有歌曲
xiaodsadwwq的博客
04-24 4002
网易云爬虫-爬取单曲和歌单所有歌曲   今天断网了 敲代码不听歌的程序员是没有灵魂的,但是本地下载又太繁琐了,想着能不能一下把一个歌单的内容按文件夹进行下载,说做就做. 首先网上已经有了网易云js加载encSecKey和params参数的加密过程,分析也是稍微有些繁琐。这里我根据网易云的一个外链进行简单的下载 http://music.163.com/song/media/outer/url?i...
监测ip变化并发送邮件通知
xiaodsadwwq的博客
05-11 3501
文章目录需求: 宽带没有定制专线服务,ip定时更新,但是服务端有白名单,ip变化就无法再连接服务端。开发一个脚本,监测本地ip的变化,发生变化时主动发送邮件给服务端开发人员。步骤如下: 需求: 宽带没有定制专线服务,ip定时更新,但是服务端有白名单,ip变化就无法再连接服务端。开发一个脚本,监测本地ip的变化,发生变化时主动发送邮件给服务端开发人员。 效果如下: 检测此时电脑ip 步骤如下: 2. 知道了现在的ip就可以使用 >> 重定向到你自己的文件中 3. 取出你文件中保存
scrapy_爬取蘑菇街所有市场商品下的服饰---把握逛街得到机-保护好钱包
xiaodsadwwq的博客
06-26 2317
蘑菇街 https://www.mogu.com 目标:抓取蘑菇街主页目录下的所有主题市场商品 按主题市场分类 每一个市场推荐标题分类 商品图片 商品链接, 商品价格, 商品标题 写入excel 设置好excel数据表,分析数据 代码如下(scrapy): # -*- coding: utf-8 -*- import time from pprint import pprint imp...
scrapy爬取苏宁所有图书
xiaodsadwwq的博客
06-26 2059
苏宁图书 https://book.suning.com/ 目标: 爬取苏宁图书下所有书本的系信息 爬取每个大分类(文学艺术)下的中间分类(小说)下的每个小分类(中国当代小说)的书本信息,并且进行翻页请求 大分类名字 中间分类名字 小分类名字 小分类链接 图书标题 书店名字 书的链接 书的价格 翻页请求 将数据保存到mongodb数据库中 代码如下(scrapy): # -*- codin...
scrapy爬取华为商城所有商品信息--科技快人一步
xiaodsadwwq的博客
06-26 1766
华为商城 https://www.vmall.com/index.html 目标:华为商城下的商品信息 按主页的左边手机,笔记本&平板,智能穿戴……分类 每一个分类下的小分类 商品标题 商品价格 规格参数 主要参数 主体 …… 商品编码 写入excel 设置好excel数据表,分析数据 代码如下(scrapy): # -*- coding: utf-8 -*- impor...
django-q2 与 django-celery
最新发布
06-06
django-q2 和 django-celery 都是 Django 中用于处理异步任务的库,但是它们的实现方式略有不同。 django-celery 是一个基于 Celery 的 Django 应用程序,它使用消息代理(如 RabbitMQ、Redis 等)来分发任务。它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值