Django的CSRF保护引起的403 FORBIDDEN

最新推荐文章于 2024-04-07 18:29:00 发布
最新推荐文章于 2024-04-07 18:29:00 发布
阅读量1.4w 收藏 9
点赞数 3
分类专栏: 软件开发心得 Python Javascript Django 网络安全 文章标签: django ajax csrf javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ybdesire/article/details/48196843
版权

用Django写了一个API,专门处理客户端发来的POST请求。结果每一次客户端JS发送POST请求,都得到403的Error。

Google搜“django 403 forbidden ajax post”,在神奇的stackoverflow上发现了答案 。 原来是Django的CSRF保护机制导致的。

CSRF

CSRF是跨站点请求伪造,简单来说就是用户在访问受信任网站后,浏览器记录了受信任网站的cookie,此时用户在不登出受信任网站的同时访问了危险网站,危险网站的请求和cookie一起到达服务器,服务器Session未过期的时候,就误认为该请求是用户发出的,从而被危险网站利用。更多细节可参考[ 1 ]和[ 2 ],目前解决CSRF攻击的方法,常用的方法就是进一步确认一个请求是来自于用户还是危险网站,就是客户端发送请求时,增加伪随机数,常用的方法有3种:
(1)验证码
(2)客户端登陆后发送token给服务器,且客户端每一次请求都带上这个token,服务器记录第一次登陆后的token,并对每一次请求进行验证
(3)在HTTP头中自定义属性并验证

Django的CSRF保护机制

HTTP请求,分为两类:“安全请求”和“不安全请求”。GET是“安全请求”, POST, PUT, DELETE是“不安全请求”。安不安全,主要还是看请求设计者。比如,如果银行系统的转账设计是用GET进行的,那GET也是不安全的。所以一般GET就用于获取资源,不要进行资源更新操作,资源更新交给POST来做。

对于“不安全请求”,Django设计了CSRF验证,简单来说这个机制是这样的:
(1) 客户端访问Django站点,Django服务器向客户端发送名为”csrftoken”的cookie
(2) 客户端对Django服务器发送不安全请求时,必须在HTTP头部加入”X-CSRFToken”字段,并将这个cookie的值作为该字段的值
(3) Django服务器端会对HTTP头部X-CSRFToken的值进行验证,依次来判断这个请求是不是来自合法用户

如何解决403

现在搞清楚了,这个403错误的原因,就是我发送的POST请求没有满足Django的CSRF保护机制。原则上,只要在POST的HTTP头部加入”X-CSRFToken”就可以。但实际编码发现,即便加了”“,也会得到403错误,而且,cookie “csrftoken”有时候能获取到,有时候获取不到!这个现象记录在这里

经过仔细调试,发现只有在浏览器中访问Django服务器,才能获得cookie “csrftoken”,客户端通过JS访问Django服务器(比如GET URL),是无法得到这个cookie的。原因在于,服务器向客户端发送cookie,都是通过HTTP头部的”Set-Cookie”字段发送的。客户端跟服务器不同源(CORS细节见XXX),所以服务器发送的HTTP响应,是不能设置浏览器cookie的。为什么通过浏览器访问服务器,就能设置cookie呢?应为同源策略(CORS)是对脚本规定的限制,浏览器当然不受限了。

在我的设计中,用Django开发的API,是开放给所有人用的,所以后来将同源策略配置为对所有不同源的客户端都开放资源访问,即’Access-Control-Allow-Origin’为*。但HTTP响应返回的头部的”Set-Cookie”字段依然不能设置浏览器cookie。而根据stackoverflow的这个问题,ajax响应是可以设置浏览器cookie的,但我这里依然不能设置,这又是为何呢?再进一步看,发现”To send cross-domain cookies, you need to set the withCredentials flag”。需要在客户端JS中设置HTTP请求的withCredentials标记为True,照此设置后,却报错如下:

XMLHttpRequest cannot load http://localhost:8000/v1/getAuthID?username=testuser1&password=123. A wildcard ‘*’ cannot be used in the ‘Access-Control-Allow-Origin’ header when the credentials flag is true. Origin ‘null’ is therefore not allowed access.

终其原因,为了让JS发送的GET请求的回复,能设置浏览器cookie,必须将GET请求的credentials标记设置为True。而credentials标记设置为True后,是要求服务器的Access-Control-Allow-Origin不能返回的。但在我的设计中,为了将API开放给不同的域去访问,只能将Access-Control-Allow-Origin设置为。所以逻辑死在这里了不是。在我这种设计下,是没办法在JS中,获取到Django服务器返回的cookie的。

最终,只能忍痛将Django的CSRF禁止,因为我的API,设计出来就是给JS调用的,而这个JS可能在不同的源。禁止Django自带的CSRF,不是就不安全了么?安全机制,还有其它的要做,况且自己不也是可以做其他的CSRF验证吗,上文已经给出方法了哦。

总结

Django的CSRF保护机制,对于用Django设计的网站,是很好的,用起来也很简单。但如果Django站点只提供API,没有页面,由于CORS的限制,且你的API是开放给不同源的用户使用的, 那么,对于这种单纯只提供API的Django服务器,是没法采用Django提供的CSRF保护机制的。对于API的安全设计,除了CSRF,还有下面的关键点:

  • 合理的用户认证机制
  • 限制每秒的访问请求数量
  • 使用HTTPS作为API的通道
  • XSS安全防护
  • 表单自动验证
  • 强制数据类型转换
  • 输入数据过滤
  • 表单令牌验证
  • 防SQL注入
  • 图像上传检测

Ref

[ 1 ] http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
[ 2 ] https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/
[ 3 ] http://stackoverflow.com/questions/13954080/cross-domain-jquery-ajax-call-with-credentials

ybdesire
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django CSRF跨站请求伪造防护过程解析
09-18
主要介绍了Django CSRF跨站请求伪造防护过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
详解DjangoCSRF认证实现
09-20
若不一致,将会抛出403 Forbidden错误。 4. **中间件执行流程**: - `process_request`:Django接收到请求后,按中间件注册顺序执行`process_request`方法。如果没有返回值,Django会继续执行URL路由。 - `...
django后台登录:Forbidden (403) CSRF verification failed. Request aborted.
weixin_46084533的博客
01-16 1130
如果您在尝试登录Django后台时遇到了CSRF验证失败的错误,这通常意味着您的浏览器未能提交正确的CSRF令牌,或者Django后端未能验证该令牌。如果您的Django站点后面有代理服务器(如Nginx或Apache),请确保代理正确设置了HTTP头信息,如。有时候,浏览器的Cookies或缓存可能导致此类问题。尝试清除您的浏览器Cookies和缓存,然后重新登录。有时候,简单地重启您的开发服务器可以解决问题。如果您使用了自定义的登录视图,请确保在POST表单中包含了。如果您正在本地工作,而且使用的是。
【24.0】Django框架之csrf跨站请求
最新发布
Chimengmeng的博客
04-07 874
【一】跨站请求伪造介绍 【1】引入 CSRF(Cross-Site Request Forgery)跨站请求伪造是一种常见的网络攻击方式。 攻击者通过诱导受害者访问恶意网站或点击恶意链接 将恶意请求发送到目标网站上 利用受害者在目标网站中已登录的身份来执行某些操作 从而达到攻击的目的。 【2】举例 假设受害者在一家网银网站上登录账户,然后继续浏览其他网页。 同时,攻击者通过电子邮件等...
Django提交表单时遇到403错误:CSRF verification failed
hj1993的博客
03-23 183
原因:有一个真正的跨站请求伪造,或当DjangoCSRF的机制还没有正确使用。
http请求 报错(403)的解决方法 django的form表单请求(get和post)django的form表单类(用于后端校验字段属性)CSRF
langdei的博客
09-17 2748
文章目录1.认识http请求1.请求的方式2.响应码3.请求request对象的方法4.获取请求传递的参数二、发送post请求的时候,报403csrf)错误的两种解决方法1.在settings文件的中间件中将csrf验证注掉2.在html中添加3.CSRF的介绍三、Django的form表单请求1.form表单 get请求2.通过form输入文章标题,搜索文章名字3.form表单post请求四、...
Django解决403 forbidden报错
肥仔的博客
02-24 1330
Django项目中settings.py中MIDDLEWARE中的'django.middleware.csrf.CsrfViewMiddleware'注释掉就行
Django的POST请求时因为开启防止csrf,报403错误,及四种解决方法
weixin_34050519的博客
09-29 1605
Django默认开启防止csrf(跨站点请求伪造)攻击,在post请求时,没有上传csrf字段,导致校验失败,报403错误 解决方法1: 注释掉此段代码,即可。 缺点:导致Django项目完全无法防止csrf攻击 解决方法2: 在views.py文件中 #导入,可以使此次请求忽略csrf校验 from django.views.decorators.csrf import...
django csrf 引起403解决方法
05-25 3363
django csrf 引起403解决方法form表单<form class="am-form" id="edit" method="post" action="/submit/">{% csrf_token %} </form>js请求function getCookie(name) { var cookieValue = null; if (document.cookie &&
django csrf Forbidden (403) CSRF verification failed. Request aborted
alohai的博客
11-16 866
Forbidden (403) CSRF verification failed. Request aborted <form> {% csrf_token %} <anything_else> </form>
python DjangoCSRF 对应策略详解
09-18
否则,Django将拒绝该请求,返回403 Forbidden错误。 在Django的配置文件`settings.py`中,`MIDDLEWARE`设置中包含了`'django.middleware.csrf.CsrfViewMiddleware'`,这意味着全局启用CSRF防护。这意味着所有处理...
Django中预防CSRF攻击的操作
09-17
否则,Django会拒绝该请求并返回403 Forbidden状态码。 此外,了解如何在Django中实现URL重定向也是开发者必备的知识。在Django的`urls.py`配置文件中,可以通过`RedirectView`来实现URL的跳转。例如: ```python ...
Python Django框架防御CSRF攻击的方法分析
09-18
如果不匹配,Django将拒绝该请求,通常返回403 Forbidden错误。 接下来,我们看看如何在Django项目中配置CSRF防护: 1. **启用CSRF中间件**:在项目的配置文件`settings.py`中,你需要确保`CsrfViewMiddleware`...
djangocsrf验证机制以及403、400异常的排查方法
旷古的寂寞的博客
08-13 526
一、CSRF验证 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF。是一种对网站的恶意利用。 Django通过在post请求中添加csrfmiddlewaretoken参数进行验证,防止CSRF攻击。 添加csrfmiddlewaretoken参数的几种方...
对于 前端请求Django 后端服务出现403 Forbidden (CSRF token missing or incorrect.) 问题的解析...
weixin_30381793的博客
12-05 435
Django中使用ajax post向後臺傳送資料時403 Forbidden (CSRF token missing or incorrect.):的解決辦法 在Django中使用ajax post向後臺傳送資料時會出現403 Forbidden (CSRF token missing or incorrect.): 的報錯。 第一種解決方法: 先看一下ajax的使用...
解决403 csrf forbidden
再努力一点吧
11-23 1535
解决这个问题的最直接办法 在你的html页面中的form表单里添加下面一行代码 {% csrf_token %} &lt;!DOCTYPE html&gt; &lt;html lang="en"&gt; &lt;head&gt; &lt;meta charset="UTF-8"&gt; &lt;title&gt;test&lt;/title&gt; &am
Spring Security开启防CSRF解决403 Forbidden问题
weixin_43404791的博客
04-25 3469
这个问题由来已久啊,从前后端交互开始就碰到这个问题,当然这个原因是因为Spring Security在默认情况下开启了防CSRF(跨站点请求伪造) 解决: 1. 关闭CSRF http.csrf().disable().authorizeRequests(); 关闭CSRF过滤器的验证会给网站带来一定被攻击的风险,因此大部分情况下,都不建议关闭这个功能. 2. 开启CSRF...
解决:禁止访问 (403) CSRF验证失败
lyw5200的博客
10-27 5280
在测试Django框架POST请求方式时,程序报错如下 在确保访问安全的情况下有一下两种方式: 1、在相应html文件form代码块中添加如下代码: <form method="post" action="/method_show/"> {% csrf_token %} <!-- 改行代码为添加部分 --> <input type="submit" value="post方式"> </form> 但是仅仅添加这句代码,...
Django踩坑-Forbidden403
qq_35969097的博客
11-12 845
初学Django框架,遇到post提交表单失败问题。查阅相关资料说是Django框架使用django.middleware.csrf.CsrfViewMiddleware这个中间件来防止CSRF跨站点请求伪造。 试过普遍推荐的在表单中增加{% csrf_token %},依然不行。 最后发现是由于return使用的render_to_response,用render_to_response去...
django CSRF verification failed. Request aborted.
06-15
这个错误通常是由于 DjangoCSRF 保护机制导致的。DjangoCSRF 保护是一种安全机制,用于防止恶意网站利用用户的身份在你的网站上执行一些操作。在 Django 中,当用户提交表单时,Django 会生成一个 CSRF 令牌并将其存储在用户的会话中。然后,在表单中添加一个隐藏的 input 标签,将该令牌作为值传递。当用户提交表单时,Django 会检查提交的令牌是否与存储在用户会话中的令牌匹配。如果令牌不匹配,则会出现 "CSRF verification failed" 错误。 解决这个问题的方法是,在表单中添加 {% csrf_token %} 标签。比如: ``` <form method="post"> {% csrf_token %} <!-- 其他表单控件 --> <input type="submit" value="提交"> </form> ``` 这个标签会生成一个隐藏的 input 标签,并将当前用户的 CSRF 令牌作为值传递。这样可以确保表单提交时,Django 能够正确验证 CSRF 令牌。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值