巧妙的解决csrf_token问题

最新推荐文章于 2024-04-25 23:10:51 发布
最新推荐文章于 2024-04-25 23:10:51 发布
阅读量4k 收藏 1
点赞数
分类专栏: python ruby on rails web 文章标签: csrf
web 同时被 3 个专栏收录
22 篇文章 0 订阅
订阅专栏
ruby on rails
12 篇文章 0 订阅
订阅专栏
python
8 篇文章 0 订阅
订阅专栏

无论是在django中,还是在ruby on rails中,都提供了一种基于token验证的机制,可以理解为防跨站机制。这种机制呆了的好处不必多说,但是会带来一种麻烦,就是在使用ajax的时候,会导致提交失败,比如在django中会提示:

 

CSRF verification failed. Request aborted.(django)
Can't verify CSRF token authenticity.(rails)

 

 这时候大家多数都会在ajax的对应ajax中加入

from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def ajax_method:
   django
skip_before_filter :verify_authenticity_token (rails)

 其实还有另外一个方法,这里只说在django中的应用,因为在rails里面没有测试过:

 

 <input type="hidden" id="csrfmiddlewaretoken" name="csrfmiddlewaretoken" value="{{ csrf_token }}">

 

 然后在用ajax的地方,加入:

   data: {datas:‘ datas’,csrfmiddlewaretoken: $("#csrfmiddlewaretoken").val()},

这样就可以了。

 

 

 

 

 

zhangfortune
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
对laravel的csrf 防御机制详解,及form中csrf_token()的存在介绍
10-16
对laravel的csrf 防御机制详解,及对laravel的csrf 防御机制详解,及form中csrf_token()的存在介绍,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
ajax csrf错误,django+ajax+post出现csrftoken错误?
weixin_34395361的博客
08-06 215
为什么会出现csrf错误呢?我在data参数里面加入了csrf啊?Forbidden (CSRF token missing or incorrect.): /account/test/[20/Oct/2016 18:10:44] "POST /account/test/ HTTP/1.1" 403 2274ajax代码 var csrftoken = Cookies.get('csrftoken...
CSRF token 无法被验证. ----Yii连接数据库后数据库错误日志报错
weixin_30335575的博客
12-26 259
CSRF token 无法被验证. 我使用的是mongodb+ yii1.1 What is CSRF, please see the details here. http://en.wikipedia.org/wiki/Cross-site_request_forgery In Yii, how to start the CSRF authorization? It is very ea...
猫头虎分享已解决Bug || 跨站请求伪造(CSRF)错误:CsrfException: CSRF token mismatch
最新发布
深入 IT 各领域的角落,分享前沿技术见解与实践心得。与我一起,探索技术的无限可能!
04-25 681
🐯 猫头虎博主来啦!今天我们要聊聊一个非常棘手但又常见的后端问题 —— CSRF (Cross-Site Request Forgery)错误,具体来说是。这个问题在web应用的安全防护中极为重要,涉及到会话管理、用户验证以及如何确保每次请求都是经过允许的。在这篇博客中,我将深入解析CSRF攻击的工作原理,为什么会出现token不匹配的问题,如何一步步地解决这个问题,并提供一些防范策略和编码实践,保证你的web应用更加安全。准备好了吗?让我们一起跳进这个技术的深海中吧!🌊。
Ruby的csrf_meta_tag
Ruby on Rails自学乐园
09-09 214
    在Ruby布局文件中的head标签之间加入这么一行&lt;%= csrf_meta_tag %&gt;,可以起到防止跨站点请求的外部攻击的作用。       在页面执行后,它会给html页面添加类似如下两行的代码:       &lt;meta content="authenticity_token" name="csrf-param" /&gt;    &lt;meta con...
爬虫请求头遇见了X-CSRF-Token和c-token如何解决
热门推荐
qq_39138295的博客
05-06 2万+
如果遇见了,大多都是对token的加密。 今天遇见了这样一个网站: 想要获取验证码图片。抓包获取之后: requests.post()请求啊,但是请求之后一直在被网站拒绝,一直在报403.。 后来回头重新看,才发现请求头中是有X-CSRF-Token和c-token来识别身份的。 这个网站比较简单,这两个值是一样的。 然后就找这两值所在的界面嘛。 全局搜索之后,发现这个是明文传输...
flask 解决csrf_token无法识别、没有定义
yuxuan89814的专栏
05-28 791
最近在合并两个项目代码,两个项目技术栈是差不多的。后端python +flask,前端是flask template 但是在合并过程中,遇到csrf_token没有定义的错误 <meta id="csrf-token" content="{{ csrf_token() }}"> 原来是在入口文件中,项目中是app目录下__init__.py文件中,没有引入实例化CSRFProtect from flask_wtf.csrf import CSRFProtect csrf = CSRF
详解php curl带有csrf-token验证模拟提交方法
10-18
主要介绍了详解php curl带有csrf-token验证模拟提交方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
解决Django提交表单报错:CSRF token missing or incorrect的问题
09-17
1. **缺失的CSRF令牌**:在Django的POST表单中,你需要包含`{% csrf_token %}`模板标签来生成和提交CSRF令牌。如果你的表单缺少这个标签,Django就无法找到令牌,从而导致错误。 2. **中间件未启用**:确保在`...
python爬虫获取数据失败请稍后访问_Python爬取拉勾网数据返回"success":false,"msg":您操作太频繁,请稍后再访问?...
weixin_39971138的博客
12-11 3309
headers = {'Cookie': '_ga=GA1.2.922961630.1527598469; user_trace_token=20180529205427-6be5a91c-633f-11e8-8f27-5254005c3644; LGUID=20180529205427-6be5b0a9-633f-11e8-8f27-5254005c3644; index_location_ci...
CSRF跨站请求伪造原理及解决方案 JsonWebToken使用方法
蒲公英芽的博客
03-29 1973
什么是CSRF CSRF(Cross-site request forgery)跨站请求伪造,跟XSS跨站脚本攻击一样,存在巨大的危害性。可以这样来理解 : 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来讲,这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,而且你自己还不知道究竟是哪些操作。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币...
django中csrf_token原理
janthinasnail的博客
04-14 1766
为防止CSRF攻击,我们需要在html页面加入{% csrf_token %}这样的代码。 但是,当我们打开多个页面的时候,你会发现,每个页面的这个csrfmiddlewaretoken还不一样,如下代码所示: //页面1的部分代码 <input type="hidden" name="csrfmiddlewaretoken" value="aPhlhBx4ellSgZbxDiBYwLqGd8pC3Pt0bkSD7wedsiKAuDIDwIYPh1XdklDmmGcI"> //页面2的部
python爬虫进阶-1688工厂信息(JS逆向-sign签名验证)
jia666666的博客
10-19 5302
目的 获取1688工厂名片的相关信息 详细需求 一、进入1688网站 https://www.1688.com/ 二、使用“工厂”这个搜索框 三、输入工厂名称进行搜索,如“深圳市杰之美时装有限公司” 四、返回搜索结果,并获取逐个店铺/工厂的连接 五、获取有关数据 思路解析 一、搜索关键词,获取返回网页中的工厂ID 二、链接拼接-进入工厂名片详情页 三、目标信息定位 四、模拟构建请求 这里的难点就是sign值的获取 五、思路汇总 1.请求工厂关键词-解析得到工厂ID 2.需要进
解密阿里巴巴加密技术: 爬虫JS逆向实践-1688 【JS混淆加密解析】
五包辣条的博客
11-04 6703
大家好,我是辣条。 这是爬虫系列的36篇,爬虫之路永无止境。 爬取目标 网站:阿里巴巴1688.com - 全球领先的采购批发平台,批发网 工具使用 开发工具:pycharm 开发环境:python3.7, Windows10 使用工具包:requests,urllib, time, re, execjs 重点学习的内容 JS混淆 正则表达式的使用 py执行js文件的应用 网页参数编码 页面分析 爬取:海量产地工厂,就上1688找工厂 .
django入门到精通⑤mako模板的使用
reblue520的专栏
12-31 303
1.搭建基础环境 (python37_django2) D:\python\django_imooc_xiaobai>django-admin startproject mako_project (python37_django2) D:\python\django_imooc_xiaobai>cd mako_project (python37_django2) D:\...
django中的CSRF相关问题
weixin_44339867的博客
09-20 211
CSRF简介: CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 在django中默认就已经开启了针对CSRF的处理,在settings.py中的 ‘django.middleware.csrf.CsrfViewMiddleware’...
input type=hidden name='x'的用法总结
bluefish_flying的博客
05-14 9999
上面是html中的隐藏域。主要作用为: 1 、隐藏域在页面中对于用户是不可见的,在表单中插入隐藏域的目的在于收集或发送信息,以利于被处理表单的程序所使用。浏览者单击发送按钮发送表单的时候,隐藏域的信息也被一起发送到服务器。 2 、有些时候我们要给用户一信息,让他在提交表单时提交上来以确定用户身份,如sessionkey,等等.当然这些东西也能用cookie实现,但使用隐藏域就简单的多了
SpringSecurity (4) CSRF 与 CSRF-TOKEN 的处理
O_o
05-17 9393
本文主要介绍SpringSecurity 和 SpringBoot 整合过程中关于 CSRF 的处理
YII_CSRF_TOKEN
04-05
在Yii框架中,YII_CSRF_TOKEN是用于防止跨站请求伪造(CSRF)攻击的令牌。CSRF攻击是一种利用用户已经登录的身份进行恶意操作的攻击方式。通过在每个表单中添加一个隐藏字段YII_CSRF_TOKEN,并在后台验证该令牌的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值