网页制作之CSRF安全验证

最新推荐文章于 2024-05-15 11:57:48 发布
最新推荐文章于 2024-05-15 11:57:48 发布
阅读量1k 收藏 2
点赞数
分类专栏: 网页制作 文章标签: ajax django csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zuefeng/article/details/108319056
版权

学习目标:

理解CSRF工作原理,能够建立完整CSRF流程。

学习内容:

1、CSRF原理 
在用户进行post提交数据时,先要经过CSRF中间件进行安全验证,验证通过后才通过路由找到对应的view视图函数进行操作。

2、 创建CSRF流程

-	解除settings文件中对CSRF中间件的注释
	MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
-	在模板文件中加入CSRFtoken设置
		方法一:直接在form表单中添加代码
			<form action="/login/" method="post">
		        {% csrf_token %}
		        <label>
		            用户名:<input type="text" name="username"/>
		        </label>
		        <input type="submit" value="提交"/>
	    	</form>
    	方法二:通过AjaxSetup进行设置
    		<form action="/login/" method="post">
		        <label>
		            用户名:<input type="text" name="username"/>
		        </label>
		        <input type="submit" value="提交"/>
		    </form>
		    <script src="/static/jquery-1.12.4.js"></script>
		    <script src="/static/jquery.cookie.js"></script>
		    <script>
		        $(function () {
		            $.ajaxSetup({
		                beforeSend:function (xhr,settings) {
		                    xhr.setRequestHeader("X-CSRFtoken",$.cookie("csrftoken"))
		                }
		            });
		        });
		    </script>
	    方法三:通过Ajax设置点击函数
	    	<form action="/login/" method="post">
		        <label>
		            用户名:<input type="text" name="username"/>
		        </label>
		        <div>
		            <input id="btn" type="button" value="CSRF"/>
		        </div>
		        <input type="submit" value="提交"/>
		    </form>
		    <script src="/static/jquery-1.12.4.js"></script>
		    <script src="/static/jquery.cookie.js"></script>
		    <script>
		            $("#btn").click(function () {
		                $.ajax({
		                    url:"/login/",
		                    method:"POST",
		                    data:{"username":"root","pwd":123},
		                    headers:{"X-CSRFtoken":$.cookie("csrftoken")},
		                    success:function (arg) {
		
		                    }
		                })
		            })
		        });
		    </script>
-	其他地方无需改动

3、定制性设置CSRF安全验证

-	在view函数中导入csrf_exempt,csrf_protect
	from django.views.decorators.csrf import csrf_exempt,csrf_protect
-	对需要保护的函数进行装饰器设置
	@csrf_protect
	def index(request):
		pass
-	对无需保护的函数进行装饰器设置
	@csrf_exempt
	def index(request):
		pass
Xue__Feng
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
07 - CSRF验证
m0_58250910的博客
09-07 171
..</form>
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
VN520的博客
12-28 1017
面试的时候的著名问题:“谈一谈你对 CSRF 与 SSRF 区别的看法”这个问题,如果我们用非常通俗的语言讲的话,CSRF 更像是钓鱼的举动,是用户攻击用户的;而对于 SSRF 来说,是由服务器发出请求,用户。
CSRF 攻击实验:Token 不存在绕过验证
最新发布
Flag少侠的博客
05-15 1802
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求。CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
CSRF漏洞原理攻击与防御(非常细)
m0_61869253的博客
10-12 3300
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
csrf验证机制
varyall的专栏
01-19 848
CSRF(跨站请求伪造) CSRF 英文全称为 Cross SIte Request Forgery CSRF 通常指恶意攻击者盗用用户的名义,发送恶意请求,严重泄露个人信息危害财产的安全 CSRF攻击示意图 解决CSRF攻击 使用csrf_token校验 1.客户端和浏览器向后端发送请求时,后端往往会在响应中的 cookie 设置 csrf_token 的值,可以使用请求钩子实现,...
CSRF认证的几种方法
UncleGen的博客
07-17 3216
前言 在使用Django框架编写网页,使用AJAX技术进行前后端数据交互的时候会遇到csrf(Cross-site request forgery跨站请求伪造)问题,get请求不影响,post就需要csrf认证。 环境 Django 2.0.6 方法 在登陆表单中添加CSRF方法: &lt;form action="{% url 'login_check' %}" met...
安全 毕设 csrf的攻击实现
04-13
CSRF(Cross-Site Request Forgery,跨站请求...在毕设项目中,你可以模拟CSRF攻击,然后设计并实现相应的防护机制,以此提升对网络安全的实战能力。同时,学习如何检测和修复CSRF漏洞也是提升网络安全意识的重要一步。
安全产品信息网页模板
01-21
首先,我们要理解安全在网页设计中的重要性。在互联网时代,信息安全已经成为用户关注的重点。一个安全的网页模板应该具备以下特点: 1. **加密通信**:网页应支持HTTPS协议,通过SSL/TLS证书实现数据加密传输,...
网页课程设计-企业自动办公系统.zip
10-14
本资源“网页课程设计-企业自动办公系统.zip”提供了一个完整的网页设计实例,适用于学习网页设计的学生或者对网页设计感兴趣的个人。该实例特别关注企业自动办公系统的构建,即OA(Office Automation)系统,这在...
网页作业——大二下web程序设计课后作业.zip
10-22
网页设计是计算机科学领域中的一个重要组成部分,特别是在当今互联网技术飞速发展的时代,它的重要性不言而喻。这个“网页作业——大二下web程序设计课后作业.zip”压缩包文件很可能是大学二年级下半学期Web程序设计...
【强制】表单、 AJAX 提交必须执行 CSRF 安全过滤。
萧逸才的博客
03-24 1万+
CSRF(Cross - site request forgery) 跨站请求伪造是一类常见编程漏洞。对于存在 CSRF 漏洞的应用/网站,攻击者可以事先构造好 URL ,只要受害者用户一访问,后台便在用户 不知情情况下对数据库中用户参数进行相应修改。思路:1、跳转页面前生成随机token,并存放在session中2、form中将token放在隐藏域中,保存时将token放头部一起提交3、获取头
CSRF安全漏洞
Given Wu
10-31 331
先看看跨站请求伪造(CSRF攻击)理解 一 概念 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 二 过程 1 受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/wit...
CSRF安全测试流程
热门推荐
Breeze的博客
12-11 1万+
CSRF安全测试流程 1. csrf本质 跨站请求伪造的本质是通过伪造关键操作的数据包内容,从而借助拥有执行身份的用户保存cookie的浏览器发送出去,达到让用户不知情的情况下,“神不知鬼不觉”的执行的目的。 2. 收集csrf有利用价值的点 csrf由于其利用的特殊性,并不需要将整个站点的所有数据包均测试一遍,只需测试有csrf价值的点即可。具体“有无价值”的判断规则需自己定义,但一般情况下,一...
CSRF验证
a274521712的博客
06-29 188
基本应用 Form 表单中添加{% csrf_token %} 可以通过查询网页元素得到它的name值和value值 全站禁用 # ‘django.middleware.csrf.Csrf……’,在settings中注释该行,表示不要进行csrf验证 局部禁用 ‘django.middleware.csrf.Csrf……’,在setting...
laravel中 URL 不做 CSRF 安全校验的两种方法
钚该钚想
04-22 699
任何时候在 Laravel 应用中定义 HTML 表单,都需要在表单中引入 CSRF 令牌字段,这样 CSRF 保护中间件才能够对请求进行验证。要想生成包含 CSRF 令牌的隐藏输入字段,可以使用辅助函数csrf_field: 如: <form method="POST" action="/profile"> {{ csrf_field() }} ... &lt...
yii2发送异步请求中的小问题,有效处理csrf验证
zfeig的专栏
02-02 5050
最近在使用yii2,打算做一个通用的后台系统,实现用户登录和后台基本操作:登录操作采用系统自带的identify组件;后台界面采用bootstrap处理,模板采用网上的后台模板页,不过该模板bootstrap版本过低,改成v3版;界面如下: 界面是响应式的,功能菜单可以自由定制,只要把链接定义写到后台首页即可,十分方便,扩展性强,省了不少麻烦; 说说遇到的问题;比如在做消息回复
CSRF解决方案 (跨网站请求伪造攻击)
futureXgm的博客
10-12 3550
区别: XSS攻击站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站.攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,发表评论,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 攻击方法: CSRF的主要手法是利用跨站请求,在用户不知情的情况下,以用户的身份伪造请求。其核...
csrf防护的html页面,CSRF是什么?CSRF的危害以及防御方法
weixin_39964590的博客
06-04 406
本篇文章给大家带来的内容是关于CSRF是什么?CSRF的危害以及防御方法,有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。什么是 CSRF在了解 CSRF 之前我们需要科普两个前提。首先是登录权限验证的方式有很多种,目前绝大多数网站采用的还是session 会话任务的方式。session 机制简单的来说就是服务端使用一个键值对记录登录信息,同时在 cookie 中将 sessioni...
csrf token missing or incorrect
09-01
"csrf token missing or incorrect"是一种常见的错误信息,一般出现在网页开发中。它是为了防止CSRF(跨站请求伪造)攻击而设计的安全机制。 CSRF攻击是指攻击者利用受害者的账户在用户不知情的情况下执行恶意操作。为了防止这种攻击,网站会在提交表单时生成一个CSRF令牌,并将其存储在用户会话中或者以隐藏字段的形式嵌入到表单中。 当系统收到用户提交的表单时,会验证表单中的CSRF令牌与用户会话中存储的令牌是否匹配。如果令牌缺失或者不正确,系统会拒绝该请求,并返回"csrf token missing or incorrect"的错误信息。 这个错误通常意味着前端页面和后端服务器之间的CSRF令牌传递存在问题。这可能是由于前端页面未正确生成或者提交CSRF令牌,或者后端服务器未正确验证令牌。 解决这个问题的方法包括: 1. 确保前端页面正确生成并提交CSRF令牌,可以通过检查页面代码中的表单字段或者请求头中的令牌值。 2. 确保后端服务器正确验证CSRF令牌,可以通过检查后端代码中的令牌验证逻辑。 3. 检查跨域请求设置,确保CSRF令牌可以正确传递。 4. 检查是否存在缓存问题,尝试清除缓存后重新加载页面。 通过以上方法,应该能够解决"csrf token missing or incorrect"的错误,提高网站的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值