csrf跨域伪造攻击

最新推荐文章于 2023-04-24 20:56:48 发布
最新推荐文章于 2023-04-24 20:56:48 发布
阅读量673 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ybw_2569/article/details/96183046
版权

csrf跨域伪造攻击

Csrf跨域伪造攻击:使用当前浏览器还在生效状态的cookie对指定网站进行操作。最初针对的是银行网站的转账。

在这里插入图片描述

Django本身会对csrf进行校验,在django的1.4版本之前,csrf默认关闭,需要在settings当中手动开启,在1.4之后,默认开启

在这里插入图片描述

在django的任何post请求,都会在请求之初,给用户下发一下串用来校验身份的编码,并且每次请求不一样。

在这里插入图片描述

如果不加csrf_token校验,会发生csrf错误

使用django的csrf校验

1,返回post登陆页面的时候要用render方法,render方法和render_to_response方法的功能类似,但是会在第一个参数返回request,如果不返还,前端无法调用 {% csrf_token %}

def csrf_form(request):
    # 判断请求的方法
    if request.method=='POST':
        # 接受前端post的参数
        name = request.POST.get('username')
        password = request.POST.get('password')
        # 判断username和password有非空值
        if name and password:
            # 保存数据
            user = FromExample()
            user.name = name
            user.password = password
            user.save()
    return render(request,'csrfForm.html',locals())

2,在form表单内部的第一行,插入csrf校验,使用{% csrf_token %}

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="" method="post">
    {% csrf_token %}
    <p>
        <label >用户名:</label>
        <input type="text" name="username">
    </p>
    <p>
        <label>密  码:</label>
        <input type="password" name="password">
    </p>
    <p>
        <input type="submit" value="提交">
    </p>
</form>
</body>
</html>

{% csrf_token %}标签实际上就是在前端的form表单当中生成了一个hidden隐藏域,name为csrfmiddlewaretoken,value是csrf校验的值

在这里插入图片描述

老酱儿
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全开发之CSRF(跨域请求伪造
XZ85201的博客
05-20 1329
概念:CSRF(Cross Site Request Forgery)跨域请求伪造,顾名思义,是在跨域的基础上利用伪造请求而达成的一种攻击手段。
CSRF(跨域请求伪造)和XSS(跨域脚本攻击)的概念和防范措施
tscn1的博客
03-22 1045
这里写目录标题CSRF(跨域请求伪造)原理:防御cookie的sameSite验证referer和Origin二次验证使用非cookie令牌XSS(跨域脚本攻击)存储型XSS反射型DOM型 CSRF(跨域请求伪造) 恶意网站以正常用户为媒介,通过模拟正常用户的操作,攻击其登录过的网站。 原理: 1. 正常用户登录后,获得正常站点的令牌,以cookie的形式保存。 2. 用户访问恶意站点,恶意站点通过某种形式去请求了正常网站,然后将用户的令牌传递到正常网站,完成攻击。 防御 cookie的sameSite
django防止csrf跨域伪造攻击
weixin_42218868的博客
07-16 557
Csrf跨域伪造攻击:使用当前浏览器还在生效状态的cookie对指定网站进行操作。最初针对的是银行网站的转账。 Django本身会对csrf进行校验,在django的1.4版本之前,csrf默认关闭,需要在settings当中手动开启,在1.4之后,默认开启 在django的任何post请求,都会在请求之初,给用户下发一下串用来校验身份的编码,并且每次请求不一样。 如果不加csrf_toke...
【web】CSRF跨站(跨域)请求伪造攻击方式
m0_45406092的博客
02-25 606
文章目录1. CSRF是什么?2. CSRF可以做什么?3. CSRF的原理3.1 举例描述原理3.1.1 示例1:3.1.2 示例2:3.1.3 示例3:4. CSRF的防御4.1 服务端进行CSRF防御4.1.1 token4.1.1.1 Cookie Hashing(所有表单都包含同一个伪随机值):4.1.1.2 验证码4.1.1.3 One-Time Tokens(不同的表单包含一个不同的伪随机值)4.1.2 验证 HTTP Referer 字段4.1.3 在 HTTP 头中自定义属性并验证 1.
跨域跨域请求伪造详解
dh554112075的博客
07-08 3232
什么是跨域? 简单来说,就是我在一个站点向另一个站点发送了请求(ajax或者链接),只要这两个站点HTTP协议、域名或是端口中有一个不一样,说明发送了跨域。 由于浏览器的同域安全策略(the same-origin security policy),这种跨域请求会被禁止。 eg.如下为在一个站点向另一个站点发送请求。 跨域问题解决 (1)@CrossOrigin:该注解有一个origins参数,可配置允许进行跨域的站点。 @CrossOrigin(origins = {"http://b.com:8080
csrf 跨域请求伪造攻击
weixin_33782386的博客
09-24 81
请求提交携带 csrfToken 过去window.addCart = function(productId,productType){ $.ajax({ url:"/dealer/dealerShoper/productAddCar?csrfToken="+$("input[name=csrfToken]").val() , method:"POST", ...
CSRF跨域请求伪造)理解的很通透
weixin_46865273的博客
05-04 1131
声明:本篇文章来自:https://my.oschina.net/jasonultimate/blog/212554 一、什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是跨站请求伪造。那么什么是跨站请求伪造呢?让我一个词一个词的解释: 1、跨站:顾名思义,就是从一个网站到另一个网站。 2、请求:即HTTP请求。 3、伪造:在这里可以理解为仿造、伪装。 综合起来的意思就是:从一个网站A中发起一个到网站B的请求,而这个请求是经过了伪装的,伪装操作达到的目的就是
CSRF 伪造跨域请求
技术的搬运工
01-30 523
伪造跨域请求(英语:Cross-site request forgery),通常缩写为CSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
跨域CSRF攻击
刘旭濠的博客
06-08 1950
作者:刘旭濠 跨域每个程序员都要掌握的一门知识,其实我一开始也不知道什么是跨域甚至是第一次听到好奇这是啥玩意(毕竟我还是小白一个)不过看了网上一堆资料虽然有点乱但是还是理解了一些,那么我来分享一下我的理解吧,那么什么是跨域跨域就是指浏览器不能执行其他网站脚本,是对浏览器对JavaScript加的安全限制,为什么要限制呢,那就是怕CSRF攻击,至于CSRF攻击是什么接下来也会讲到的。 那么我就这样...
php跨域提交及伪造SeSSION
09-25
一个基于php的跨域提交伪造数据的东东,有待于改进!
spring security 跨域防伪攻击
weixin_30767921的博客
10-28 147
applicationContext-security.xml中配置 1 <http use-expressions="true" disable-url-rewriting="false" entry-point-ref="loginUrlAuthenticationEntryPoint"> 2 <!-- <intercept-ur...
CSRF(跨站请求伪造)详解
Y22Lee的博客
04-10 1669
CSRF全称Cross-Site Request Forgery,也被称为 one-click attack 或者 session riding,即跨站请求伪造攻击。当发现网站存在CSRF漏洞时,攻击者会利用网站源码,构建一个存有恶意请求的网站或者是链接,引诱受害者访问,那么当受害者在访问攻击伪造的网站,同时,又在访问攻击攻击的目标网站且没有关闭会话,那么攻击者就成功完成了CSRF攻击攻击者可以发送请求包,比如:修改邮箱的,上传文件的等等。
CSRF跨域请求伪造
maChao_97的博客
03-11 563
CSRF跨域请求伪造
Spring Security实战(七)—— 跨域请求伪造的防护及单点登录
weixin_49561506的博客
04-24 644
Spring Security之跨域请求伪造的防护,以及单点登录,CAS
浅谈CSRF跨域攻击
DevOps
05-15 1669
CSRF(Cross Site Request Forgery) 跨站请求伪造。在用户不知情的情况下以用户的名义向有CSRF漏洞的网站发起攻击,有很大的危害性。 预防:在header中添加一个随机token,和cookie中的csrftoken进行比较,如果不相同,则表示该请求是CSRF攻击。 原理:网站可以伪造header中的东西,但不能读cookie中的数据,而token是个随机数,所以伪...
CSRF 跨域
ywn0601的博客
01-12 542
了解CSRF跨域
跨站请求伪造CSRF攻击是什么?如何防御?
fe_watermelon的博客
08-09 2253
我是前端西瓜哥,今天来学习 CSRFCSRF,跨站请求伪造,英文全称为 Cross-site request forgery。也可称为 XSRF。CSRF 攻击。当我们成功登录一个网站时,其实浏览器在这个网站域名下保存好了,通常通过 cookies 保存。登录后,我们的在当前域名下发起请求就会带上 cookie,服务器就通过它来确定你对应哪个用户,允许你去执行一些涉及到个人隐私的操作。浏览器的一个机制:访问了一个 url,会带上对应域名的 Cookies,这就给了 CSRF 可乘之机。...
axios如何防御跨域请求伪造攻击
最新发布
04-21
在防御跨域请求伪造攻击方面,axios本身并没有提供特定的防御机制,但可以通过一些常见的安全措施来增强安全性。 以下是一些常见的防御跨域请求伪造攻击的方法: 1. 同源策略:浏览器的同源策略限制了不同源之间的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值