csrf跨站请求

最新推荐文章于 2023-06-02 23:58:05 发布
最新推荐文章于 2023-06-02 23:58:05 发布
阅读量132 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yhwu123/article/details/106620483
版权

前提:在之前的访问浏览器,我们都是将setting里的中间件中的csrf给注释掉,不然会无法访问网页

csrf的作用
csrf跨站请求伪造校验
网站在给用户返回一个具有提交数据功能页面的时候会给这个页面加一个唯一标识
当这个页面朝后端发送post请求的时候 我的后端会先校验唯一标识,如果唯一标识不对直接拒绝

如何使用csrf
只要在form表单下加入模板语法{% csrf_token %}就可以了
除了form,我们还有个ajax提交方式。
在ajax中有三种方式,书写难度从大到小!
// 第一种 利用标签查找获取页面上的随机字符串
{#data:{“username”:‘jason’,‘csrfmiddlewaretoken’: $(’[name=csrfmiddlewaretoken]’).val()},#}
// 第二种 利用模版语法提供的快捷书写
{#data:{“username”:‘jason’,‘csrfmiddlewaretoken’:’{{ csrf_token }}’},#}
// 第三种 通用方式直接拷贝js代码并应用到自己的html页面上即可
data:{“username”:‘jason’}

以下为js代码

function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');


function csrfSafeMethod(method) {
  // these HTTP methods do not require CSRF protection
  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

$.ajaxSetup({
  beforeSend: function (xhr, settings) {
    if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
      xhr.setRequestHeader("X-CSRFToken", csrftoken);
    }
  }
});

csrf的一些好用的装饰器
在FBV中

  1. csrf_protect 需要校验
    可以注释掉中间件中的csrf然后在要校验的方法上加入此装饰器
    (适用于只用校验少部分方法)
  2. csrf_exempt 忽视校验
    可以单单让此方法忽略校验
    (适用于校验大部分方法)

在CBV中
csrf_protect三种方式可以全部使用,没有任何不适反应
但是
csrf_exempt只能给dispatch使用,其他方式会报错

yhwu123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSRF--跨站请求伪造
weixin_44940180的博客
08-11 162
原理 攻击者盗用身份以用户名义发送恶意请求 可能用到的标签 <link href=" "> <img src=" "> <iframe src=" "> <script src=" "> csrf与xss的区别 GET 分析源码可以看出来检查了 HTTP_REFERER中是否包含SERVER_NAME 所以不能随意构造一个URL诱使管理员点击 所以,我们可以将攻击页面命名为192.168.3.3.html就可以绕过了 原本数据库中管理员的密码为
Django CSRF跨站请求伪造防护过程解析
09-18
CSRF跨站请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网站发起对受害者的合法网站的请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
CSRF 跨站请求详解
m0_60571990的博客
10-07 439
CSRF 跨站请求详解
CSRF跨站请求攻击
聂培志的博客
08-10 62
原理 在攻击者的网站去调用你的服务。比如点赞、关注、修改密码 防御 跨越限制:Access-Control-Allow-Origin 增加CSRF-Token: 服务器端生成随机字符,返回给前端。前端提交时,在http头部设置,服务器端验证cookie是否一致 验证refere ...
CSRF (Cross-Site Request Forgery;跨站请求伪造)
今天的风儿甚是喧嚣
07-08 240
CSRF介绍和防护
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一...
csrf跨站请求伪造简单示例
10-18
一个简单的csrf跨站请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
CSRF——跨站请求伪造攻击
peanut5036的博客
12-04 1193
一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击行为,网站能够确认请求来源于用户的浏览器,却不能验证请求是否源于用户的真实意愿下的操作行为。
CSRF跨站请求伪造)
俺当日记写
07-14 180
CSRF 漏洞(跨站请求伪造):漏洞是由于未校验请求来源,导致攻击者可在第三方站点发起 HTTP 请求,并以受害者的目标网站登录态(cookie、session 等)请求,从而执行一些敏感的业务功能操作1.不攻击网站服务器 2.冒充用户在信任网站工作 3.攻击建立在浏览器与web服务器的会话中网站服务端没有对request做严格过滤引起1.会造成用户密码重置 2.用户伪造1.get型csrf 2.post型csrf代码: 当访问这个页面时 及发送了一次http请求 伪造URL请求利用代码 实现网页自动提交
CSRF(跨站请求伪造)
无痕的博客
01-18 8333
csrf跨站请求伪造介绍、csrf攻击在dvwa环境中的应用
网络安全-跨站请求伪造(CSRF)的原理、攻击及防御
关注网络安全、云原生安全
08-08 1万+
目录 简介 原理 举例 漏洞发现 链接及请求伪造 CSRF攻击 不同浏览器 未登录状态 登录状态 代码查看 防御 用户 供应商(程序员) 简介 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF .
跨站请求伪造(CSRF
weixin_40270125的博客
05-11 5277
CSRF的全名是Cross Site Request Forgery,翻译成中文就是跨站请求伪造。 1)CSRF 简介 什么是CSRF呢?我们先看一个例子。 在介绍XSS Payload时那个“删除搜狐博客”的例子,登录Sohu博客后,只需请求这个URL,就能把编号为“156713012”的博客删除。 http://blog.sohu.com/manage/entry.do?m=...
前端安全之CSRF攻击(跨站请求伪造)
热门推荐
业余丰富各种技术栈
08-19 2万+
前端安全之CSRF,日常防范CSRF攻击的几种方式
CSRF(跨站请求伪造)详解
Y22Lee的博客
04-10 1610
CSRF全称Cross-Site Request Forgery,也被称为 one-click attack 或者 session riding,即跨站请求伪造攻击。当发现网站存在CSRF漏洞时,攻击者会利用网站源码,构建一个存有恶意请求的网站或者是链接,引诱受害者访问,那么当受害者在访问攻击者伪造的网站,同时,又在访问攻击者攻击的目标网站且没有关闭会话,那么攻击者就成功完成了CSRF攻击!攻击者可以发送请求包,比如:修改邮箱的,上传文件的等等。
xss和csrf详解
weixin_33737774的博客
08-29 317
XSSCross site scripting,全称“跨站脚本”特点是不对服务器造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论时,提交含有js的内容文本,而服务器没有过滤掉或者转义掉这些脚本,作为内容发布到页面上,那么其他用户在访问的时候就会运行这些脚本。for example:​ // 用 &lt;script type="text/javascript"&gt;&lt;/scrip...
跨站请求伪造(CSRF)攻击原理及预防手段
m0_47905795的博客
06-02 5492
随机化Token(CSRF Token):Token是用于验证网站请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序中,可以通过hidden field的方式将Token加入到表单中,提交时验Referer检查:在服务端校验请求头中的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
csrf-跨站请求伪造
weixin_41957593的博客
07-13 138
CSRF防御通过 referer、token 或者 验证码 来检测用户提交。尽量不要在页面的链接中暴露用户隐私信息。对于用户修改删除等操作最好都使用post 操作 。避免全站通用的cookie,严格设置cookie的域。Django解决办法原理Django使用专门的中间件(CsrfMiddleware)来进行CSRF防护。具体的原理如下:它修改当前处理的请求,向所有的 POST 表单增添一个隐藏的...
CSRF跨站请求伪造漏洞
最新发布
12-06
CSRF(Cross-site request forgery)跨站请求伪造是一种网络攻击方式,攻击者通过伪造用户请求来冒充用户身份,从而进行一些非法操作。攻击者通常会在第三方网站上设置陷阱,引诱用户点击链接或者访问页面,从而触发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值