跨站请求伪造保护

最新推荐文章于 2020-12-16 06:44:27 发布
最新推荐文章于 2020-12-16 06:44:27 发布
阅读量462 收藏
点赞数
分类专栏: Flask Web 文章标签: webflask Flask-WTF 加密 csrf 表单
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangdi1206/article/details/68141211
版权

默认情况下,Flask-WTF能保护所有的表单免受跨站请求伪造(Cross-Site Request Forgery, CSRF)的攻击。恶意网站把请求发送到被攻击者已经登陆的其他网站时就会引发

CSRF攻击


Flask-WTF实现CSRF保护:需要程序设置一个密钥,Flask-WTF使用这个密钥生成加密令牌,再用令牌验证请求中表单数据的真伪。

app.config字典可以用来存储框架、扩展和程序本身的配置变量,这个文件还提供了可以从文件或者环境中导入配置值的方法。

SECRET_KEY配置变量是通用变量,可在Flask和第三方扩展中使用,加密的强度取决于变量值的机密程度。不同的程序要使用不同的密钥。


为了增强安全性,密钥不应该直接写入代码,而要保存在环境变量中。

设置密钥方法:hello.py

from flask import Flask

app = Flask(__name__)
app.config['SECRET_KEY'] = 'hard to guess string'





yangdi1206
关注
专栏目录
CSRF跨站请求伪造)和SSRF(服务端请求伪造)漏洞复现:风险与防护方法
weixin_43263566的博客
08-30 795
CSRF漏洞指的是攻击者利用受害者的身份,在其不知情的情况下发送恶意请求给目标网站。由于目标网站无法区分恶意请求和正常请求,因此会执行该请求。这使得攻击者能够以受害者的名义执行一些不被授权的操作,例如更改密码、发表言论、转账等。不过我这里是测试就直接在浏览器打开脚本复现成功,其他类型的攻击方式操作也是这样。SSRF漏洞指的是攻击者通过操纵目标Web应用程序中的请求来发起伪造请求。攻击者利用这种漏洞可以访问应用程序所在服务器上的本地资源,或者攻击内部网络中的其他系统,并执行恶意操作。
jenkins 2.2.X版本关闭跨站请求伪造保护
御前提笔小书童
10-20 1451
场景: 根据官网描述,Jenkins版本自2.204.6以来的重大变更有:删除禁用 CSRF 保护的功能,从而会遇到403问题 解决方案: 因为集成服务都是在内网操作,为删繁就简,考虑关闭 CSRF 保护功能,经过实践在Jenkins启动前加入相关取消保护的参数配置后启动Jenkins,即可关闭CSRF,配置内容如下: -Dhudson.security.csrf.GlobalCrumbIssuerConfiguration.DISABLE_CSRF_PROTECTION=true 也可以直接修改jen
跨站请求伪造保护
little_monkey1223的博客
08-05 1765
跨站请求伪造保护的方法
跨站请求伪造保护 CSRF
weixin_30907523的博客
07-25 255
1.跨站请求伪造攻击   某些恶意网站上包含链接、表单按钮或者JavaScript,它们会利用登录过的用户在浏览器中的认证信息试图在你的网站上完成某些操作,这就是跨站请求伪造。 2.CSRF Cross-Site Request Forgey 跨 站点 请求 伪装 3.说明:CSRF中间件和模板标签提供对跨站请求伪造简单易用的防护。 4.作用:不让其...
处理Django的csrf跨站请求保护机制
hi_sir_destroy的博客
07-20 225
三种方法: 方法一:在form表单中加入{% csrf_token %},达到保护要求避免这个机制生效,csrf_token的作用就是通过渲染,将token替换为一个input,value等于随机数token的标签,然后提交,提交的时候会提交随机数token,然后在服务器端进行token验证。如: <form action="" method="post" enctype="multipart/form-data"> {% csrf_token %} <d
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat 防止跨站请求伪造CSRF)机制浅析 在 Web 应用开发中,跨站请求伪造CSRF)是一种常见的安全威胁。跨站请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行...
php漏洞之跨网站请求伪造与防止伪造方法
10-26
跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是一种网络安全漏洞,攻击者通过诱导用户在未经许可的情况下执行非预期的操作,从而达到恶意目的。在PHP开发中,了解并防止这种攻击至关重要。 首先,我们...
Django CSRF跨站请求伪造防护过程解析
09-18
通过理解Django的CSRF防护机制,开发者可以更好地保护Web应用免受跨站请求伪造的攻击,确保用户数据的安全。在开发过程中,始终遵循最佳安全实践,定期审计和测试应用的防护措施,是保障Web应用安全的重要环节。
Django解决跨站请求保护机制
LI4836的博客
06-29 356
使用django提交表单,出现CSRF verification failed. Request aborted. 这是因为django有一个跨站请求保护机制,这需要我们在html文件中的form标签中加入一行{% csrf_token %}。
jenkins2.73.3默认配置插件
12-03
不想浪费时间下载安装的可以直接在这里下载 注意版本一定要2.73.3不然可能不能使用
网络安全零基础入门(第七章-4)跨站请求伪造CSRF
素笺
04-03 190
每日一句:用Cookie打他 本篇内容:CSRF的原理      CSRF实战注意 一、CSRF理解 1.定义    简单的说,csrf漏洞的成因就是网站的cookie在浏览器中不会过期,    只要不关闭浏览器或者退出登录,那以后只要是访问这个网站,都会默认你已经登录的状态。    而在这个期间,攻击者发送了构造好的csrf脚本或包含csrf脚本的链接,    可能会执行一些用户不想做的功能...
django跨站保护机制和CSRF
study_in的博客
11-23 205
CSRF:Cross-site request forgery,叫做跨站请求伪造,是指伪装来自受信任用户的请求来利用受信任的网站完成攻击。 下面是我在网上看到的一个比较好的通俗的解释: 受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/withdraw?account=bob&amp;amp;amount=1000000&amp;amp;for=bob2 可以使 ...
14.跨站请求伪造跨站请求保护的实现
carl95271的博客
04-13 485
1.什么是跨站请求伪造 CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。 2.CSRF攻击原理 图中 Browse 是浏览器,WebServ...
flask web开发》狗书4-6章知识点详解
weixin_42681866的博客
10-16 634
第四章 Web表单   《flask web开发》狗书前三章知识点详解   web表单是每个网站都必须用到的,狗书里也是花了1章的篇幅来介绍,表单的内容相对第五章数据库要简单不少,不过由于模块版本的原因有部分bug,这边就针对一些知识点进行拓展。 SECRET_KEY   开头就介绍了在app.config里插入secret_key,这边注意两点,其一是’hard to guess string’...
Flask学习 三 web表单
weixin_34080571的博客
05-18 156
web表单 pip install flask-wtf 实现csrf保护 app.config['SECRET_KEY']='hard to guess string' # 可以用来存储框架,扩展,程序等的配置变量 #支持的字段 StringField 文本字段 TextAreaField 多行文本字段 Pass...
解决jenkins 2.2版本无法关闭跨站请求伪造保护
qq_39507330的博客
06-02 5465
高版本jenkins不能界面禁用跨站请求伪造保护。 禁用跨站请求伪造保护操作如下: 修改jenkins的配置文件。vim /etc/sysconfig/jenkins JENKINS_JAVA_OPTIONS="-Djava.awt.headless=true -Dhudson.security.csrf.GlobalCrumbIssuerConfiguration.DISABLE_CSRF_PROTECTION=true" 配置后重启jenkins。service jenkins restar
跨站请求伪造_容器里运行的jenkins,关闭跨站请求伪造保护CSRF
weixin_39841610的博客
12-16 1045
gitlab要和jenkins进行联动,所以必须要需要对jenkins的安全做一些设置,依次点击系统管理-全局安全配置-授权策略,勾选"匿名用户具有可读权限"注意下面的的跨站伪造保护(CSRF)请求必须要关闭,但是在Jenkins版本自2.2xx版本之后,在web界面里已经没法关闭了:所以在当前web界面里暂且不要管它,点击下面的保存。gitlab要触发jenkins的话,就必须要关闭...
跨站请求伪造原理与利用
最新发布
05-12
跨站请求伪造CSRF)是一种网络攻击,其原理是攻击者利用用户已经登录的身份,在用户不知情的情况下,向网站发送恶意请求。攻击者可以通过在第三方网站上放置恶意代码,来实现对用户的攻击。 攻击者通常会在第三方网站中嵌入一个恶意链接或图片,当用户访问该网站时,恶意代码会自动向目标网站发送一个请求,该请求会携带用户的身份认证信息。目标网站无法区分该请求是用户自己发起的还是攻击者伪造的,从而执行了攻击者的指令。 攻击者利用 CSRF 攻击可以完成以下几种攻击方式: 1. 以用户的身份进行未授权的操作,如修改用户信息、发表评论、购买商品等。 2. 盗取用户的隐私信息,如获取用户的浏览历史、Cookie、密码等。 3. 通过 CSRF 攻击绕过网站的防御机制,如绕过 CSRF token、验证码等。 为了防范 CSRF 攻击,可以采取以下几种措施: 1. 在表单中添加 CSRF token,用于验证请求的合法性。 2. 禁止使用 GET 方式提交表单,只允许使用 POST 方式。 3. 验证请求来源,只接受来自本站的请求。 4. 不允许浏览器自动发送 Cookie。 总之,防范 CSRF 攻击是非常重要的,需要网站开发者和用户共同努力来保护网站的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值