Backend - Django CSRF 跨域请求伪造

已于 2024-02-05 08:57:54 修改
阅读量1k 收藏 21
点赞数 24
文章标签: csrf Django python token
于 2024-01-29 17:32:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoxiaoluobogan/article/details/135917457
版权

目录

一、CSRF & XSS

(一)CSRF

1. 含义

2. 攻击原理

(1)浏览器特点

(2)攻击方式

(二)XSS

1. 含义

2. 攻击原理

(三)二者区别

二、Django Ajax CSRF 防御

(一)令牌同步模式(Synchronizer Token Pattern,简称 STP )

1. 原理

2. 设置验证

(二)双重 cookie 验证(Double Submit Cookie)

1. 原理

2. 设置验证

(三)X-Csrf-Token 验证(Cookie-to-header token)

1. 原理

2. 设置验证

三、设定 CSRF 验证

(一)settings.py

(二)base.html

1. 针对 ajax 请求,body 里添加{% csrf_token %}

2. 针对 form 表单,form 表单里添加{% csrf_token %}

(三)JS

1. 针对 双重cookie验证

(1)方法1

(2)方法2

2. 针对 X-Csrf-Token验证(Cookie-to-header token)

(1)方法1

3. 针对所有模式的综合验证

(1)写入位置

(2)引入顺序

四、关闭 CSRF 防御功能

1. 方法1:全局禁用

2. 方法2:局部禁用

五、Django CSRF 的控制台 Error

(一)Reason given for failure: CSRF cookie not set.

1. 原因

2. 解决

(二)CSRF verification failed. Request aborted.

1. 原因

(1)原因1:csrf_token 过期

(2)原因2:请求头的 csrf_token 与 session 存储的 token 不匹配

(3)原因3:模板里没有 csrfmiddlewaretoken

一、CSRF & XSS

(一)CSRF

1. 含义

        跨站请求伪造(Cross-site Request Forgery )。

2. 攻击原理

(1)浏览器特点

同个浏览器上,无论是目标网站A还是其他网站B,发送对目标网站A的HTTP请求,都会自动带上目标网站A的cookie,发送给服务端。

(2)攻击方式

同个浏览器上,当用户登录了目标网站(已登录状态),再进入攻击网站,攻击网站发送对目标网站的HTTP请求,则会自动带上“已登录的目标网站”的cookie,就可以进行攻击服务端。

(二)XSS

1. 含义

跨站脚本攻击(Cross-Site Scripting,为了和 CSS 区分,则简称 XSS)。

2. 攻击原理

在目标网站上注入恶意脚本进行攻击。(攻击者提交恶意代码,浏览器再执行恶意代码,篡改了网页)

(三)二者区别

CSRF 是 HTTP 问题,XSS 是代码注入问题。

CSRF需登录目标网站,XSS不用登录。

二、Django Ajax CSRF 防御

采取以下任意一种防御模式即可。

(一)令牌同步模式(Synchronizer Token Pattern,简称 STP )

1. 原理

(1)找到数据库Session的session_csrftoken参数。成功登录网站后,后端随机产生一个csrftoken值,并把该值保存在数据库Session参数中。

(2)找到网页模板的隐藏csrfmiddlewaretoken名的标签。初始化某界面时,前端模板会根据{% csrf_token %}生成一个隐藏的name='csrfmiddlewaretoken'的input标签,存放后端随机生成的csrftoken值。

(3)用户进行 ajax post 请求。post请求时,csrfmiddlewaretoken值会一并放在请求数据(或头信息)中,发送给后端。后端会根据前端csrfmiddlewaretoken的 value值、和服务端数据库 public.django_session 表的 session_csrftoken参数值,判断两个csrf_token解密后的值是否一致。

(4)一致则正常访问,不一致则拒绝访问。

2. 设置验证

在第三点“设定 CSRF 验证”中。

(二)双重 cookie 验证(Double Submit Cookie)

1. 原理

(1)找到浏览器cookie的csrftoken。成功登录网站后,整个浏览器中Cookie的csrftoken属性,存放后端随机生成的csrftoken值。

(2)找到网页模板的隐藏csrfmiddlewaretoken名的标签。初始化某界面时,前端模板会根据{% csrf_token %}生成一个隐藏的 name='csrfmiddlewaretoken' 的input标签,存放后端随机生成的csrftoken值。

(3)用户进行 ajax post 请求。post请求时,csrfmiddlewaretoken值会一并放在请求数据(或头信息)中,发送给后端。后端会根据前端csrfmiddlewaretoken的 value值、和浏览器Cookie的csrftoken值,判断两个csrf_token解密后的值是否一致。

(4)一致则正常访问,不一致则拒绝访问。

2. 设置验证

在第三点“设定 CSRF 验证”中。

(三)X-Csrf-Token 验证(Cookie-to-header token)

1. 原理

(1)确保同源政策。

(2)系统主要使用 JavaScript 进行交互。(因为恶意攻击无法读取 cookie 值,并复制到 HTTP 请求头中)

(3)将 cookie 上的 token 复制到 HTTP 请求头中。

(4)后端验证 HTTP 请求头中 token 的存在和完整性。

(5)X-Csrf-Token 头存在且完整,则正常访问,否则拒绝访问。

2. 设置验证

在第三点“设定 CSRF 验证”中。

三、设定 CSRF 验证

以下主要针对基于 django 使用 ajax 发送 post 请求时的验证。

(一)settings.py

        MIDDLEWARE 里添加 'django.middleware.csrf.CsrfViewMiddleware'  # 设置CSRF检测功能

(二)base.html

1. 针对 ajax 请求,body 里添加{% csrf_token %}

例如:

<body id="body">
    {% csrf_token %}
    <div>{% block content %} {% endblock %}</div>
</body>

渲染后:

<body id="body">
    <input type="hidden" name="csrfmiddlewaretoken" value="vUAPUcghecxAGlraGaFGbikXz3SOPcWtmMtk8o1UQ1PpYYAhxg2cAiAaLyQ9HEY9" />
    <div>插入的子模板</div>
</body>

2. 针对 form 表单,form 表单里添加{% csrf_token %}

因为若在 base.html 中加入 {% csrf_token %},则不在 form 表单的范围内。所以需要在 form 表单里添加。

例如:

<form action="http://127.0.0.1:8080/myApp/test" method=POST>
	{% csrf_token %}
	<input type="submit"/>
</form>

(三)JS

采取以下任意一种验证即可。

1. 针对 双重cookie验证

(1)方法1

        后端将 csrftoken 传到前端(放置在隐藏标签里),发送 post 请求时,请求数据 data 中加上csrftoken,一起发送给后端。

        在 base.html 中的 script 里写上。

$.ajaxSetup({
    data: {csrfmiddlewaretoken: '{{ csrf_token }}' },
});
(2)方法2

        后端将 csrftoken 传到前端(放置在隐藏标签里),发送 post 请求时,请求数据 data 中加上csrftoken。

        在 base.html 中的 script 里写上。

$.ajaxSetup({
    data: {csrfmiddlewaretoken: $('[name="csrfmiddlewaretoken"]').val()},
});

2. 针对 X-Csrf-Token验证(Cookie-to-header token)

(1)方法1

        cookie 中存在 csrftoken,请求头 headers 中加上 csrftoken。

        在 base.html 中的 script 里写上。

        前提:

                ① 引入 jquery-3.1.1.min.js 和 jquery.cookie.js。

                ② 引入顺序:jQuery 库文件必须先于 cookie 文件。

$.ajaxSetup({
    headers:{ "X-CSRFtoken":$.cookie("csrftoken")},
});

3. 针对所有模式的综合验证

(1)写入位置

        前面两个验证的所有方法只能写在html中,不能写到外部js文件。因为 {{ csrf_token }} 渲染在模板上,若以外部文件引入,则不能执行。

        以下代码可以写在外部js文件里,并在 base.html 里引入该js文件。

(2)引入顺序

        该 js 文件的引入顺序必须在 jquery.js 文件之后。

/**
 * 【 Cross Site Request Forgery TOKEN 】
 *  Forbidden 403 - CSRF check with an AJAX POST request in Django.
 */
jQuery(document).ajaxSend(function (event, xhr, settings) {
    function getCookie(name) {
        let cookieValue = null;
        if (document.cookie && document.cookie !== '') {
            let cookies = document.cookie.split(';');
            for (let i = 0; i < cookies.length; i++) {
                let cookie = jQuery.trim(cookies[i]);
                // Does this cookie string begin with the name we want?
                if (cookie.substring(0, name.length + 1) === (name + '=')) {
                    cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                    break;
                }
            }
        }
        return cookieValue;
    }
    function sameOrigin(url) {
        // url could be relative or scheme relative or absolute
        let host = document.location.host; // host + port
        let protocol = document.location.protocol;
        let sr_origin = '//' + host;
        let origin = protocol + sr_origin;
        // Allow absolute or scheme relative URLs to same origin
        return (url === origin || url.slice(0, origin.length + 1) === origin + '/') ||
            (url === sr_origin || url.slice(0, sr_origin.length + 1) === sr_origin + '/') ||
            // or any other URL that isn't scheme relative or absolute i.e relative.
            !(/^(\/\/|http:|https:).*/.test(url));
    }
    function safeMethod(method) {
        return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
    }
    if (!safeMethod(settings.type) && sameOrigin(settings.url)) {
        xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
    }
});

四、关闭 CSRF 防御功能

不推荐关闭 CSRF 防御功能,因为取消了 CSRF 防御保护。

1. 方法1:全局禁用

        settings.py 中,注释掉 'django.middleware.csrf.CsrfViewMiddleware'

2. 方法2:局部禁用

        views.py 中,导入from django.views.decorators.csrf import csrf_exempt;

        并给要处理 post 数据的函数补充 @csrf_exempt(post 函数有 request 参数)。

五、Django CSRF 的控制台 Error

(一)Reason given for failure: CSRF cookie not set.

1. 原因

        django 中使用 jquery ajax post 数据出现 403 错误。

        即,settings 设置了 Django CSRF 检测功能(防止跨站请求伪造),需要在 django 发送 post 请求时进行字符串验证,但还没有设置 CSRF cookie。

2. 解决

(1)第一种:关闭 CSRF 检测功能

(2)第二种:设定 CSRF 验证

(这两种方式在前面第三点中已介绍)

(二)CSRF verification failed. Request aborted.

1. 原因

(1)原因1:csrf_token 过期

        解决:重新登录(若还未写前端登录,则admin登录)

(2)原因2:请求头的 csrf_token 与 session 存储的 token 不匹配

        解决:清除浏览器缓存; 重新登录

(3)原因3:模板里没有 csrfmiddlewaretoken

        解决:模板中(或表单内)添加 {% csrf_token %} 

是萝卜干呀
关注
  • 24
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Backend-Django
03-27
【标题】"Backend-Django" 指的是使用Python编程语言构建后端服务器的一个项目,主要基于Django框架。DjangoPython世界中一个强大且成熟的Web开发框架,以其“ batteries included ”的理念著称,提供了丰富的功能...
api-backend-django
03-06
"api-backend-django"是一个基于Python的项目,很可能是一个使用Django框架构建的API后端服务。DjangoPython中最受欢迎的Web开发框架之一,它以其高效性、安全性以及MVT(模型-视图-模板)设计模式而闻名。这个...
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
VN520的博客
12-28 1079
面试的时候的著名问题:“谈一谈你对 CSRF 与 SSRF 区别的看法”这个问题,如果我们用非常通俗的语言讲的话,CSRF 更像是钓鱼的举动,是用户攻击用户的;而对于 SSRF 来说,是由服务器发出请求,用户。
(保姆级教学)跨站请求伪造漏洞
m0_63436163的博客
04-19 1383
跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件、发消息、甚至财产操作:转账、购买商品等)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份认证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
Django中使用Ajax及避开CSRF 验证的方式详解_django ajax csrf豁免
最新发布
2401_84905061的博客
05-16 282
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。盗取回话 cookie 之后,攻击者不仅可以获取用户的信息,还可以修改该 cookie 关联的账户信息。所以解决 CSRF 攻击的最直接的办法就是生成一个随机的 csrftoken 值,保存在用户的页面上,每次请求都带着这个值过来完成校验。的问题,解决跨域伪造csrf的方法有三种。以post的方式提交,存在。
详解CSRF跨站点请求伪造
马儿不会飞
03-07 9365
CSRF攻击: CSRF跨站点请求伪造(Cross—Site Request Forgery):大概可以理解为攻击者盗用了你的身份,以你的名义在恶意网站发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,甚至于购买商品、转账等。 例如:Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 CSRF攻击攻击原理及过程如下: 1.用户C打开浏览器,访问受信任网站A,输入用户名
关于 CSRF(跨站请求伪造
辉小鱼的博客
09-09 331
攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。. 利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
django错误 - Reason given for failure: CSRF cookie not set.
热门推荐
heitdf
02-20 1万+
今天练习django的form的提交。当提交表单的时候,出现了 Forbidden (403) CSRF verification failed. Request aborted. Help Reason given for failure: CSRF cookie not set. In general, this can
Django中使用Ajax及避开CSRF 验证的方式详解
qq_36581961的博客
02-07 414
文章目录向服务器发送GET请求向服务器发送POST请求通过 csrf_token 认证视图层或者urls添加装饰器 ajax(Asynchronous Javascript And Xml)异步javascript和XML。本文实例讲述了django框架中ajax的使用及避开CSRF 验证的方式。 ajax的优点 使用javascript技术向服务器发送异步请求 ajax无须刷新整个页面; 由于ajax响应的是局部页面,因此性能要高 向服务器发送GET请求 views.py from django.ht
Backend-Python-Django
04-03
2. **中间件(Middleware)**:Django中间件是一段代码,可以插入到Django请求/响应处理流程中,实现全局的功能扩展,如日志记录、性能监控等。 3. **表单与模型表单**:Django提供表单系统,用于处理HTML表单数据...
Python库 | django-minio-backend-2.5.0.tar.gz
03-02
**Pythondjango-minio-backend-2.5.0.tar.gz** `django-minio-backend` 是一个专门为PythonDjango框架设计的存储后端,它允许开发者将Django的静态文件和媒体文件存储在MinIO对象存储服务上。这个库使得在...
django框架中ajax的使用及避开CSRF 验证的方式详解
09-18
主要介绍了django框架中ajax的使用及避开CSRF 验证的方式,结合实例形式分析了Django框架ajax后台交互与排除验证csrf相关操作技巧,需要的朋友可以参考下
backend-api:后端的API规范
05-13
文档(ReDoc): ://public-transport-quality-grades.github.io/backend-api/ SwaggerUI: ://public-transport-quality-grades.github.io/backend-api/swagger-ui/ 完整规格: JSON YAML 警告:仅当Travis CI...
[python]CSRF verification failed. Request aborted.的解决方法
nocturne1210的专栏
10-11 2127
在学写django的过程,使用request.POST时遇到如下报错: Forbidden (403) CSRF verification failed. Request aborted. Help Reason given for failure: CSRF cookie not set. In general, this can occur when there
Reason given for failure: CSRF cookie not set.
leezsj的博客
12-03 1469
在用djiango中的redirect方法时遇到这个问题 解决方法有两个 第一个在setting中把 MIDDLEWARE 这个中的 django.middleware.csrf.CsrfViewMiddleware', 注释掉 如图 方法二: 在view页面里导入 from django.template import RequestContext 语句 ...
【前端安全】一、CSRF攻击和XSS攻击
weixin_39307273的博客
03-06 1494
1、CSRF CSRF,全称Cross-site request forgery(跨站请求伪造),其原理是利用用户的身份,执行非用户本身意愿的操作(隐式身份验证机制)。 形式:图片URL、超链接、Form提交等,也可以嵌入到第三方论坛、文章中等地方。 危害:攻击者可以盗用用户的身份,以用户的名义进行恶意操作,包括但不限于以用户的名义发送邮件、资金转账、网上等危害用户的操作 原理: ...
让我们来谈谈 CSRF
Javachichi的博客
05-03 1059
最近我碰到了一些CSRF(跨站请求伪造)的案例,借此机会我深入研究了一番。研究后发现,CSRF攻击确实挺可怕的,因为它很容易被忽视。幸运的是,现在很多开发框架都内置了防御CSRF的功能,可以很方便地启用。即便如此,我还是认为有必要深入了解一下CSRF究竟是什么,它是通过什么手段进行攻击的,以及我们应该如何防范。下面,我们就来简单介绍一下CSRFCSRF是一种Web攻击手法,全称是,即跨站请求伪造。注意不要和XSS(跨站脚本攻击)混淆,它们是两种不同的攻击方式。那么,CSRF到底是什么呢?
程序猿必读-防范CSRF跨站请求伪造
weixin_34232617的博客
02-27 242
CSRF(Cross-site request forgery,中文为跨站请求伪造)是一种利用网站可信用户的权限去执行未授权的命令的一种恶意攻击。通过伪装可信用户的请求来利用信任该用户的网站,这种攻击方式虽然不是很流行,但是却难以防范,其危害也不比其他安全漏洞小。 本文将简要介绍CSRF产生的原因以及利用方式,然后对如何避免这种攻击方式...
Django AJAX csrf
anzhang5248的博客
08-08 103
1、原始 a、在HTML中添加 {% csrf_token %} b、在data中添加csrf_token对应input的 键值对 "csrfmiddlewaretoken" : $("[name='csrfmiddlewaretoken']").val() 2、保存到一个JS文件,并像JQuery一样引用即可 function getCookie(nam...
backend-proxy-middleware
02-07
backend-proxy-middleware 是指用于代理后端服务器的中间件。它的作用是在前端应用和后端服务器之间提供一个中间层,可以用来实现功能像跨域请求、身份验证、流量监控、缓存等。通常,它会作为一个代理服务器部署在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值