web项目09-----CSRF验证

最新推荐文章于 2021-10-18 21:05:58 发布
VIP文章 最新推荐文章于 2021-10-18 21:05:58 发布
阅读量144 收藏 1
点赞数
分类专栏: web项目 文章标签: python flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zaaaacki/article/details/109962880
版权

CSRF验证

关于CSRF:https://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html

csrf是一种攻击手段

如果我们的服务器开启了csrf的验证,他会

  1. cookie中获取csrf_token的值
  2. 请求体中获取csrf_token的值

如果这两个值相同,那么验证通过,如果不同,则返回一个状态码,比如400

一般都是前端发送请求的时候才会验证,POST、PUT、DELETE的请求方式

我们用POST请求的时候,要提交这两个东西,cookie中要有csrf_token,body中也要有csrf_token,发送到这两个值到服务器中进行验证

同源策略

限制了不同源的网站他们的资源不能相互操作

在我们你的项目中

当我们访问首页,访问注册页面时,我们就加上一个csrf_token这个值

那么我们访问这些静态资源的时候会通过什么访问呢

通过我们创建的web_html文件启动,然后发送请求,所以我们在这个文件中加上我们的CSRF验证

导入库

from flask_wtf import csrf

我们需要在cookie中存入csrf_token,我们就需要使用response.set_cookie()这个方法,但是我们没有response怎么办呢<

最低0.47元/天 解锁文章
zaaaacki
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring-Security:安全攻击对策
05-13
包含实现Web应用程序安全功能的组件 弹簧安全配置 由组件组成,以支持每个模块提供的组件配置(支持基于Java的配置方法的类或解释XML名称空间的类,等等。) Spring安全标签库 包含JSP标记库以使用认证信息或授权...
WEB/系统安全
zy531的专栏
09-21 473
安全性相关的HTTP头部设置: Strict-Transport-Security:强制使用安全连接(SSL/TLS之上的HTTPS)来连接到服务器。 X-Frame-Options:提供对于“点击劫持”的保护。 X-XSS-Protection:开启大多现代浏览器内建的对于跨站脚本攻击(XSS)的过滤功能。 X-Content-Type-Options: 防止浏览器使用MIME-sniffing...
flask项目之4:csrf验证与相关防护措施
LCY133的博客
12-15 223
CSRF验证:http://blog.csdn.net/wireless911/article/details/81589202 从cookie中获取csrf_token的值 从请求体中获取csrf_token的值 如果两者相同就可以继续进行,异常就不进行验证 同源策略: 同源的网站才可以操作资源, ...
html5 csrf,在HTML文件的表单中添加{%csrf_token%}便可以解决问题
weixin_39542340的博客
07-02 2726
原因是django为了在用户提交表单时防止跨站攻击所做的保护只需在HTML文件的表单中添加{%csrf_token%}便可以解决问题------------------------if判断{% if %}标签计算一个变量值,如果是“true”,即它存在、不为空并且不是false的boolean值,系统则会显示{% if %}和{% endif %}间的所有内容{% if num >= 100...
csrf 原理与解决方案
水墨江南
10-09 6311
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号...
CSRF(跨站请求伪造)与django项目的预防方法
花城的博客
10-18 2074
一、跨站请求伪造(CSRF)的概念二、django的CSRF令牌三、在ajax中使用csrf_token(jQuery为例)四、关于CSRF的装饰器1. 单独指定需要csrf验证的视图2. 单独指定忽略csrf验证的视图 一、跨站请求伪造(CSRF)的概念 CSRF全称为Cross-site request forgery,中文意为跨站请求伪造。它是指一种网络攻击技术:不法分子盗用身份信息并伪造请求,进行并非你本意的操作。 csrf的案例: 假设我们在浏览器中逛支付王(就当做是个很垃圾的支付平
auto-check-element:一个输入元素,用于通过服务器端点验证其值
02-06
根据服务器端点验证其值的输入元素。 安装 $ npm install --save @github/auto-check-element 用法 脚本 导入为模块: import '@github/auto-check-element' 带有脚本标签: < script type =" module " src =...
spring-security-jwt-csrf:使用Spring Security,Spring Boot和Vue js进行无状态JWT身份验证的演示
01-31
ЭтодемонстрацияаутентификациинаосноветокенасиспользованиемJSON网络令牌иCSRF,Spring安全,Spring启动иVue的JS。 СтекТехнологий...
electrode-csrf-jwt:使用JWT的无状态跨站点请求伪造(CSRF)保护
02-03
电极无状态CSRF 一个电极插件,可在Electrode,Express,Hapi或Koa 2应用程序中使用启用无状态保护。... 参见双JWT CSRF令牌为了与和,我们通过使用两个JWT令牌进行验证来扩展该技术。 Cookie中的一个令牌
login-schemes:具有不同身份验证方案的简单的Spring Boot应用程序
05-16
针对不同的Web应用程序身份验证方案测试应用程序在这里,您可以找到适用于不同身份验证方案的简单spring-boot应用程序。 创建此回购协议是为了针对不同的身份验证方案测试 。 这是我的GSoC项目的一部分。 保留了各种...
Django 解决 csrf_protect的方法
白氏可乐python学习归纳区
11-14 7066
直接看别人的页面吧~~ http://www.qttc.net/201209211.html
记一次解决CSRF的坑
zhangustb
11-07 1328
漏洞扫描,需要解决csrf问题,先贴上代码,使用的是过滤器 package com.jdd.appim.web.filter; import com.alibaba.fastjson.JSONObject; import org.apache.commons.lang3.StringUtils; import org.slf4j.Logger; import org.slf4j.Logger...
burpsuite生成POC验证CSRF过程及原理
qq_41123867的博客
02-19 1万+
一.CSRF漏洞成因: 浏览器访问web服务器A,登录状态下,再用同一个浏览器访问了恶意服务器B,服务器B返回给浏览器的页面中含有要求访问服务器A的恶意代码,用户不知情的情况下点击后,导致服务器A接收到来自服务器B的通过浏览器发起的恶意请求 根据上图可知,要验证CSRF,需要在访问网站A后获得cookie后,再访问一个会返回恶意代码的网站B,返回的恶意代码必须能导致访问网站A ,如果能通过返回的...
flask_wtf CSRFProtect机制
ypgsh的博客
01-09 1808
一,使用 实例化 from flask_wtf import CSRFProtect csrf = CSRFProtect() 初始化 from flask import Flask app = Flask(__name__) ... WTF_CSRF_SECRET_KEY=xxx #设置token 生成salt ... csrf.init_app(app)     csrf默认对[...
CSRF
热门推荐
时光偏执的博客
01-16 1万+
CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。 CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 防止 CSRF 攻击 步骤 在客户端向...
保护资源html,javascript - 如何给被视作为静态资源的spa加上csrf保护?
weixin_39635432的博客
06-04 143
最近我在使用react+react-router开发spa,后台使用的是yii2。nignx设置的是当404就返回index.html。但是这样子有个问题是,我没有办法使用csrf的保护,这样子要怎么解决呢?我看到了一个网站使用的技术栈和我的差不多,我看了它是在head标签上面写了一个含有token值的meta标签,而它的每一个请求都会将这个token作为header的值发回去。这样子要怎么做?要...
关于开启CSRF会报400的问题
cainiaojan的博客
08-01 794
当开始CSRF保护的时候,需要提交表单的时候都会报400的错误.然后查看了下源码: class CSRFProtect(object): “”“Enable CSRF protection globally for a Flask app. :: app = Flask(__name__) csrf = CsrfProtect(app) Checks the ``...
flask_wtf flaskCSRF 源代码初研究
weixin_30919571的博客
06-18 145
因为要搞一个基于flask的前后端分离的个人网站,所以需要研究下flaskcsrf防护原理. 用的扩展是flask_wtf,也算是比较官方的扩展库了. 先上相关源代码: 1 def validate_csrf(data, secret_key=None, time_limit=None, token_key=None): 2 """Check if the given...
Flask项目实现防止CSRF攻击的流程
是什么让你停止不前?
10-12 1294
Flask项目实现防止CSRF攻击的流程 a) 使用 flask_wtf 中 CSRFProtect类,初始化该类并传入app b) 使用 flask_wtf.csrf模块中的generate_csrf方法生成csrf_token c) 使用请求勾子 after_request,取到响应,统一设置到cookie中 d) 如果前端使用form表单提交,需要在表单中添加隐藏的input,并设置其va...
csrf-token反爬
最新发布
11-10
CSRF(Cross-site request forgery)跨站请求伪造是一种常见的Web攻击方式,攻击者通过伪造用户请求来执行非法操作,而CSRF-Token是一种防范CSRF攻击的方式。在Web应用中,服务器会生成一个随机的Token并返回给...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值