阿语python4-1 django框架v5.0第4.3节CSRF

最新推荐文章于 2024-04-28 14:13:15 发布
最新推荐文章于 2024-04-28 14:13:15 发布
阅读量155 收藏
点赞数
文章标签: django web html csrf cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zz77244920/article/details/116476236
版权

  • CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。

  • CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。

    • 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......

  • 造成的问题:个人隐私泄露以及财产安全。

CSRF攻击示意图

  • 客户端访问服务器时没有同服务器做安全验证

防止 CSRF 攻击

步骤

  1. 在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值

  2. 在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token

  3. 在用户点击提交的时候,会带上这两个值向后台发起请求

  4. 后端接受到请求,以会以下几件事件:

  • 从 cookie中取出 csrf_token

  • 从 表单数据中取出来隐藏的 csrf_token 的值

  • 进行对比

  • 如果比较之后两值一样,那么代表是正常的请求,如果没取到或者比较不一样,代表不是正常的请求,不执行下一步操作

  • 代码演示

    未进行 csrf 校验的 WebA

    • 后端代码实现

    #定义路由
from django.conf.urls  import url
from pay import views
urlpatterns = [
    url(r'^$',views.LoginView.as_view(),name='index'),   #登录路由 
    url(r'^transfer/$',views.TransferView.as_view(),name='transfer'), #转账路由
]

#定义视图
class LoginView(View):

    def post(self,request):

        # 取到表单中提交上来的参数
        username = request.POST.get("username")
        password = request.POST.get("password")

        if not all([username, password]):
            print('参数错误')
        else:
            print(username, password)
            if username == 'laowang' and password == '1234':
                # 状态保持,设置用户名到cookie中表示登录成功
                response = redirect(reverse('transfer'))
                response.set_cookie('username', username)
                return response
            else:
                print('密码错误')
        return render(request,'login.html')
    def get(self,request):
        return render(request,'login.html')

class TransferView(View):


    def post(self,request):
        # 从cookie中取到用户名
        username = request.COOKIES.get('username', None)
        # 如果没有取到,代表没有登录
        if not username:
            return redirect(reverse('index'))


        to_account = request.POST.get("to_account")
        money = request.POST.get("money")

        print('假装执行转操作,将当前登录用户的钱转账到指定账户')
        return HttpResponse('转账 %s 元到 %s 成功' % (money, to_account))

    def get(self, request):
        # 渲染转换页面
        response = render(request, 'transfer.html')

        return response

    • 前端登录页面代码

    <!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登录</title>
</head>
<body>

<h1>我是网站A,登录页面</h1>

<form method="post">
    <label>用户名:</label><input type="text" name="username" placeholder="请输入用户名"><br/>
    <label>密码:</label><input type="password" name="password" placeholder="请输入密码"><br/>
    <input type="submit" value="登录">
</form>

</body>
</html>

    • 前端转账页面代码

    <!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>转账</title>
</head>
<body>
<h1>我是网站A,转账页面</h1>

<form method="post">
    <label>账户:</label><input type="text" name="to_account" placeholder="请输入要转账的账户"><br/>
    <label>金额:</label><input type="number" name="money" placeholder="请输入转账金额"><br/>
    <input type="submit" value="转账">
</form>

</body>
</html>

    运行测试,如果在未登录的情况下,不能直接进入转账页面,测试转账是成功的

    攻击网站B的代码

    • 后端代码实现

    #定义路由
from django.conf.urls import url
from ads import views

urlpatterns = [
    url(r'^$',views.AdsView.as_view()),
]

#定义视图
class AdsView(View):

    def get(self,request):

        return render(request,'index.html')

    • 前端代码实现

    <!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

<h1>我是网站B</h1>

<form method="post" action="http://127.0.0.1:9000/transfer/">
    <input type="hidden" name="to_account" value="黑客">
    <input type="hidden" name="money" value="190000" hidden>
    <input type="submit" value="点击领取优惠券">
</form>

</body>
</html>

    运行测试,在用户登录网站A的情况下,点击网站B的按钮,可以实现伪造访问

    在网站A中实现 csrf_token 校验的流程

    • 导入生成 csrf_token 的函数

     from django.middleware.csrf import get_token
 csrf_token = get_token(request)

    • 在渲染转账页面的,做以下几件事情:

       def get(self, request):
        # 生成csrf_token
        from django.middleware.csrf import get_token
        csrf_token = get_token(request)

        # 渲染转换页面,传入 csrf_token 到模板中
        response = render(request, 'transfer.html',context={'csrf_token':csrf_token})

        # 设置csrf_token到cookie中,用于提交校验
        response.set_cookie('csrf_token', csrf_token)

        return response

    1. 生成 csrf_token 的值

    2. 在返回转账页面的响应里面设置 csrf_token 到 cookie 中

    3. 将 csrf_token 保存到表单的隐藏字段中

  • 在转账模板表单中添加 csrf_token 隐藏字段

  • <head>
    <meta charset="UTF-8">
    <title>转账</title>
</head>
<body>
<h1>我是网站A,转账页面</h1>

<form method="post">
    <input type="hidden" name="csrftoken" value="{{ csrf_token }}">
    <label>账户:</label><input type="text" name="to_account" placeholder="请输入对方账户"><br/>
    <label>金额:</label><input type="number" name="money" placeholder="请输入转账金额"><br/>
    <input type="submit" value="转账">
</form>

</body>
</html>

    运行测试,进入到转账页面之后,查看 cookie 和 html 源代码

    • 在执行转账逻辑之前进行 csrf_token 的校验

     # 取出表单中的 csrf_token
 form_csrf_token = request.POST.get("csrftoken")
 # 取出 cookie 中的 csrf_token
 cookie_csrf_token = request.COOKIES.get('csrf_token')
 # 进行对比
 if cookie_csrf_token != form_csrf_token:
     return HttpResponse('token校验失败,可能是非法操作')

    运行测试,用户直接在网站 A 操作没有问题,再去网站B进行操作,发现转账不成功,因为网站 B 获取不到表单中的 csrf_token 的隐藏字段,而且浏览器有同源策略,网站B是获取不到网站A的 cookie 的,所以就解决了跨站请求伪造的问题

    在 Django项目中解决 CSRF 攻击

    Django默认是开启CSRF的

    模板中设置 CSRF 令牌

    {% csrf_token %}
或者
<input type="hidden" value="{{ csrf_token }}">
zz77244920
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
jinja2的渲染模板(1)
weixin_44791884的博客
04-04 486
实验:实现大量远程主机配置文件的更改: 方法1: 方法2:利用playbook实现 利用jinja2渲染远程文件 模板装载变量: 需要给变量赋值,否则会报错:(在模板中定义了变量,渲染远程主机的时候记得要赋值) 模板装载表达式: 远程主机渲染出的文件如下:(生成模板表达式对应的结果的文件) 列表模板:(符合python的语法) 通过play...
jinja2模板中使用csrf_token保护
weixin_46151916的博客
03-17 1470
发生的错误如下: Exception Type: TemplateSyntaxError Exception Value: (“Encountered unknown tag ‘csrf_token’.”,) 这是我在django中使用jinja2模板时 使用post方式提交遇到的问题? 为什么会发生这个问题呢,因为jinja2模板中使用post提交,后端需要对应的验证类才会检查csrf_tok...
Django模板的使用以及jinja2的配置
weixin_40006040的博客
04-14 595
Django 模板一、模板位置二、模板的渲染三、模板语法1. 变量2. 过滤器3. 内置标签四、 模板继承五、静态资源配置六、`jinja2`模板引擎配置 模板用于快速生成动态页面返回给客户端,模板是一个文本,用于分离文档的表现形式和内容.模板定义了占位符以及各种用于规范文档该如何现实的模板标签.模板通常用于产生html,但是django的模板也能产生任何基于文本格式的文档.模板包含两个部分: html代码 模板标签 一、模板位置 在应用中建立templates目录,有多个应用的时候不能复用页面
django默认模板引擎和jinja2模板引擎
ab123334的博客
04-02 638
在使用中,大家会发现django默认模板引擎有很多局限性,最明显的就是四则运算。就只能加减,乘除都不支持。另外还有判断相等,不能直接if,要用ifequal。确实不太方便。还有一点,django默认模板引擎很慢,jinja2宣称比django默认模板引擎快10-20倍。 两种模板语言在使用上差别不是很大。 jinja2功能更强大,运行速度也比自带的模板要快很多。Django主流的第三...
Jinja2 模板
最新发布
qq_44744569的博客
04-28 777
Flask 是使用 Jinja2 这个模板引擎来渲染模板视图函数只负责业务逻辑和数据处理(业务逻辑方面) 而模板则取到视图函数的数据结果进行展示(视图展示方面)将模板转换为完整的HTML页面的操作称为渲染。参数:默认会在根目录下的templates文件夹下寻找about.html模板文件。如果想更改模板文件地址,应该在创建app的时候,给Flask传递一个关键字参数template_folder,指定具体的路径,再看以下例子: 加载静态文件 Web应用中会出现大量的静态文件来使得网页更加生动美观。类似于CS
python2-django-doc-1.11.10-1.el7.noarch.rpm
12-18
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
python-django-bash-completion-1.8.14-1.el7.noarch.rpm
12-04
官方离线安装包,亲测可用
01-Python基础语法v5.0(第1 开发环境安装介绍)07-下载和安装PyCharm.ev4.rar
02-03
本教程"01-Python基础语法v5.0(第1 开发环境安装介绍)07-下载和安装PyCharm.ev4"将引导您了解如何下载和安装Python开发环境——PyCharm。 PyCharm是由JetBrains公司开发的一款强大的集成开发环境(IDE),专为...
python- Django Web框架 v2.2.27.zip
09-19
DjangoPython编程语言驱动的一个开源模型-视图-控制器(MVC)风格的Web应用程序框架。使用 Django,我们在几分钟之内就可以创建高品质、易维护、数据库驱动的应用程序。 Django框架的核心组件有: 1、用于创建模型...
01-Python基础语法v5.0(第1 开发环境安装介绍)06-PyCharm的作用.ev4.rar
02-03
"第1 开发环境安装介绍"将详细介绍如何设置Python的开发环境。通常,选择一个功能强大且用户友好的集成开发环境(IDE)可以提高编程效率。PyCharm,由JetBrains公司开发,就是这样一款专为Python设计的IDE,它在...
jinja2模板
DTCloud
09-19 293
再使用render_template渲染模板的时候,可以传递关键字参数,以后直接在模板中使用即可如果参数过多,可以将所有的参数放到一个字典或列表中。将字典打散成关键字参数可以在参数前面加**'age':8,'gender':'男'}{'name': 'zhangsan','age':18,'gender':'男'},{'name': 'lisi','age':68,'gender':'女'},{'name': 'wangwu','age':16,'gender':'男'}]
PythonWeb时代)——jinja2模板
qq_25702235的博客
08-08 3238
Jinja2是Flask框架默认支持的模板引擎,是pythonweb项目中被广泛应用的一种模板引擎,jinja2的作者与Flask是同一个人。有些时候需要对要在模板中的变量值做一些特殊处理,比如首字母大写,去掉前后空格、字符串拼接等等,这时就可以使用过滤器。当遇到现有的过滤无法满足我们的需求时,这时就需要我们自定义一个过滤器了。通过 | 来使用过滤器,与Linux中的管道类似。非常灵活,提供了控制结构、表达式与继承等。控制结构(逻辑代码) {% %}变量取值 {{ }}
Flask框架——(Jinja2模板)
weixin_45550881的博客
04-14 592
Flask框架——(Jinja2模板) 1. Jinja2模板介绍 模板是⼀个web开发必备的模块。因为我们在渲染⼀个⽹⻚的时候,并不是只渲染⼀个纯⽂本字符串,⽽是需要渲染⼀个有富⽂本标签的⻚⾯。这时候我们就需要使⽤模板了。在Flask中,配套的模板是Jinja2,Jinja2的作者也是Flask的作者。这个模板⾮常的强⼤,并且执⾏效率⾼。 2. ...
第三章 Jinja2模板
qq_42385761的博客
02-05 3197
jinja2模板
Flask之jinja2模板(一)
m0_67093160的博客
10-24 816
jinja模板,过滤器
Python 功能强大且灵活的模板引擎Jinja2模块
weixin_54217348的博客
03-17 1209
Jinja2是一个功能强大且易于使用的Python模板引擎,它解析并渲染模板文件,结合变量和逻辑控制结构,生成动态文本输出,如HTML或XML。其灵活性和扩展性使其成为Web开发中的理想选择。
Python Jinja2:强大易用的模板引擎
weixin_68789096的博客
10-20 3858
总之,Jinja2是一个功能强大、易于使用和扩展的Python模板引擎,适用于各种需要模板引擎的应用场景。掌握它的基本功能能够提高我们的开发效率和代码可维护性,使我们能够更专注于实现应用程序的功能和需求。本文转自,如有侵权,请联系删除。
Django学习笔记6-Django自带模板以及Jinja2模板、CSRF
weixin_41446786的博客
07-25 523
Django模板文档 一、Django自带模板 1、配置 (1)在工程中创建模板目录templates。 在settings.py配置文件中修改TEMPLATES配置项的DIRS值: 'DIRS': [os.path.join(BASE_DIR, 'templates')], # 此处修改 (2)定义模板 在templates目录中新建一个模板文件,如index.html (3)模板渲染 调用模板分为两步: Django提供了一个函数render可以将代码简洁化 render(req
1.4【Flask框架学习】模板-Jinja2简介
学python的小小小小白
11-08 283
Jinja2简介Flask渲染Jinja2模板模板传递参数 Flask渲染Jinja2模板 要渲染一个模板,通过render_temlate方法: from flask import Flask, render_template app = Flask(__name__) @app.route('/about/') def about(): return render_template('about.html') 当访问/about/的时候,about()函数会在当前目录下的template文件夹下寻
MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', ]
05-24
- `django.middleware.csrf.CsrfViewMiddleware`:提供CSRF保护,确保POST请求来自合法的来源。 - `django.contrib.auth.middleware.AuthenticationMiddleware`:提供用户身份验证支持,确保只有已登录用户才能访问...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zz77244920

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值