Django中CSRF防御全过程解析以及中间件作用机制

最新推荐文章于 2022-07-17 14:36:19 发布
原创 最新推荐文章于 2022-07-17 14:36:19 发布 · 275 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨Django框架中CSRF中间件的工作原理,包括设置、中间件参与流程及Token生成机制,通过源码分析揭示CSRF防御策略。
前言

XSS和CSRF攻击的基础原理这里就不介绍了,之前写了一篇文章单独介绍的很详细了,传送门,这里我们直接以Django为分析对象,分析中间件csrf生成原理以及防范Token如何运作的。

Settings文件

Setting.py中有茫茫多的配置选项。配置文档

CSRF中间件

官方文档介绍的也是表面,本文通过源码层面直接分析流程
官方文档针对CSRF的介绍以及参数配置 配置文档

Django全流程中间件参与过程
  • 是一个轻量级,底层的插件系统,可以介入Django的请求和响应处理过程,修改Django的输入和输出
  • 激活:添加到Django配置文件的MIDDLEWARE
MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

上面的第四个就是我们这里要详细分析的CSRF中间件。

Django中中间件最多可以定义五个方法:

process_request(self,request)
process_view(self, request, view_func, view_args, view_kwargs)
process_template_response(self,request,response)
process_exception(self, request, exception)
process_response(self, request, response)

Django工作流程中中间件执行顺序:
在这里插入图片描述
单个CSRF中间件详细流程图如下
在这里插入图片描述
根据上面的步骤,验证了一下多个中间件组合调用的顺序

# 两个中间件代码
from django.http import HttpResponse
from django.utils.deprecation import MiddlewareMixin


class Exp1(MiddlewareMixin):
    def process_request(self,request):
        print('Exp1 ---> precess_request %s'%id(request))

    def process_response(self, request, response):
        print('Exp1 ---> process_response')
        return response

    def process_view(self, request, view_func, view_args, view_kwargs):

        print('Exp1 ---> process_view')
        print('Exp1',view_func, view_func.__name__)

    def process_exception(self, request, exception):
        print('Exp1',exception)
        print('Exp1','process_exception')
        # return HttpResponse('卧槽,挂了啊')

    def process_template_response(self, request, response):
        print('Exp1','process_template_response')
        return response



class Exp2(MiddlewareMixin):
    def process_request(self, request):
        print('Exp2 ---> precess_request %s'%id(request))
        print()


    def process_response(self, request, response):
        print('Exp2 ---> process_response')
        return response

    def process_view(self, request, view_func, view_args, view_kwargs):

        print('Exp2 ---> process_view')
        print('Exp2', view_func, view_func.__name__)
        print()

    def process_exception(self, request, exception):
        print('Exp2', exception)
        print('Exp2', 'process_exception')
        return HttpResponse('enenenen???')

    def process_template_response(self, request, response):
        print('Exp2','process_template_response')
        return response
# 视图代码
def exrp(request):
    # a = [1, 2, 3]
    # a[100]
    print('views.py-----视图中的代码被执行了')
    # return render(request, 'books/cook2.html', {'x':'渲染一下'})
    def render():
        print("触发 Template render()方法")
        return HttpResponse("反悔了啊")

    rep = HttpResponse("11123232")
    rep.render = render
    return rep
    
# 最后记得在配置文件下写入对应的中间件

访问对应的路径,模拟正常流程下render()渲染的结果

Exp1 ---> precess_request 4385889584
Exp2 ---> precess_request 4385889584

Exp1 ---> process_view
Exp1 <function exrp at 0x1052e2400> exrp
Exp2 ---> process_view
Exp2 <function exrp at 0x1052e2400> exrp

views.py-----视图中的代码被执行了
Exp2 process_template_response
Exp1 process_template_response
触发 Template render()方法
Exp2 ---> process_response
Exp1 ---> process_response
[22/May/2019 16:44:32] "GET /books/exrp/ HTTP/1.1" 200 12

再看一下如果视图渲染的时候错误打印

Exp1 ---> precess_request 4370030264
Exp2 ---> precess_request 4370030264

Exp1 ---> process_view
Exp1 <function exrp at 0x104640400> exrp
Exp2 ---> process_view
Exp2 <function exrp at 0x104640400> exrp

Exp2 list index out of range
Exp2 process_exception
Exp2 ---> process_response
Exp1 ---> process_response
[22/May/2019 16:50:29] "GET /books/exrp/ HTTP/1.1" 200 11

总结:

1.中间件的process_requestprocess_view这两个函数是在视图函数之前执行的

2.多个中间件,会按照配置文件的顺序执行,process_requestprocess_view是顺序执行,其他三个是逆序执行

3.中间件传递的都是同一个对象

4.如果视图正常渲染,不会执行process_exception方法,如果不正常,执行顺序逆序,有一个返回HTTPResponse则终端传递,直接传给process_response返回给客户端

5.当我们通过render()渲染的时候,会触发process_template_response函数,很少用这个方法

两张图详细描述了多个中间件执行顺序,可以配合上面的总概览图看
在这里插入图片描述
在这里插入图片描述
参考博客,内容非常详细

Django网络安全】如何正确防护CSRF跨站点请求伪造_drf csrf
2301_77033672的博客
04-28 1001
CSRF(Cross-site request forgery),中文名跨站点请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器中的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
CSRF攻击及其防止流程
weixin_30662109的博客
08-19 538
CSRF流程: 第一步:用户c浏览并登录信任的站点A 第二步:A验证通过,在用户c浏览器产生A的cookie 第三步:用户c在没有退出站点A的情况下访问攻击网站B 第四步:B要求访问第三方的站点A,发出一个请求 第五步:用户浏览器根据B网站的请求,携带cookie访问站点A 第六步:A不知道5中的请求是用户c发出的,还是B发出的,由于浏览器会自动带上用户C的cookie,所以...
web漏洞——CSRF攻击原理及防御
weixin_43806577的博客
08-29 870
CSRF漏洞介绍 CSRF(Cross-site request forgery,跨站请求伪造),通常缩写为CSRF或XSRF是一种对网站的恶意利用。它利用受害者尚未失效的身份认证信息(cookie,会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。 CSRF属于...
DjangoCSRF原理及应用详解
热门推荐
AlexGeek
09-22 1万+
 Web开发中十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造(CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
深入理解CSRF攻击与防御
Jeffrey20170812的博客
11-01 2002
深入理解CSRF攻击与防御What is CSRFCSRF攻击原理CSRF攻击的大致步骤:How to defense CSRF验证 HTTP Referer 字段在请求地址中添加 token 并验证在 HTTP 头中自定义属性并验证验证码部分参考资料总结 What is CSRF 首先可以先看一段英文原文介绍: Cross Site Reference Forgery works by incl...
python安全编码
qq_23864401的博客
07-26 868
注入攻击 1、SQL注入 方式:注入能够允许攻击者操控发送至数据库的SQL查询字符串 解决方案: 使用白名单验证用户所有输入 将用户输入转换为正确类型 不可基于用户输入直接引用数据库,表格或者列 应该始终在用户上下文中运行有限权限的查询 使用预处理语句或参数化查询创建动态查询 2、跨站脚本xss 定义:攻击者向网页中注入客户端代码,这些代码可能会向服务器发送请求,攻击者就会从返回的响应中窃取c...
Django Forms安全性全解析】:防御CSRF攻击与数据伪造的策略
[【Django Forms安全性全解析】:防御CSRF攻击与数据伪造的策略](https://static1.makeuseofimages.com/wordpress/wp-content/uploads/2023/04/csrf-token-hidden-field.jpg) # 1. Django Forms安全性的基础理解 在...
Django CSRF保护实战全攻略】:20个案例深度解析,安全提升技巧
![【Django CSRF保护实战全攻略】:20个案例深度解析,安全提升技巧]...本章将概述CSRF攻击的基本概念以及Django如何通过内置机制帮助开发者防御
Django为例谈谈XSS和CSRF攻击
Deft_MKJing的博客
05-19 1208
前言 在Web安全领域,XSS和CSRF两个是最常见的攻击方式,由于最近在研究Django框架,阅读源码的同时分析下这两个攻击的攻击方式和防御方式 XSS XSS,即 Cross Site Script,中译是跨站脚本攻击;在别人的站点嵌入脚本,而这个脚本原来不是属于这个站点的,所以叫跨站脚本,其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安...
CSRF漏洞详解
xcxhzjl的博客
11-19 3457
一、CSRF漏洞原理 1、基本原理 CSRF(Cross-site Request Forgery,跨站请求伪造)是一种针对网站的恶意利用。 CSRF攻击可以利用用户已经登陆或已经授权的状态,伪造合法用户发出请求给受信任的网点,从而实现在未授权的情况下执行一些特权操作。 CSRF与XSS听起来很像,但攻击方式完全不同。XSS攻击是利用受信任的站点攻击客户端用户,而CSRF是伪装成受信任的用户攻击受信任的站点。 2、流程图 3、条件 ●用户成功登陆了网站系统,能执行授权的功能 ●目标用户访
【基本功】 前端安全系列之二:如何防止CSRF攻击?
美团技术团队
10-11 3829
总第290篇2018年 第82篇当当当当,我是美团技术团队的程序员鼓励师美美~“基本功”专栏又来新文章了,本篇是我们前端安全系列文章的第二篇,主要聊聊前端开发过程中遇到的...
csrf防护机制
凉茶铺的博客
07-17 2194
CSRF(Cross-siterequestforgery),中文名称跨站请求伪造你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括个人隐私泄露以及财产安全。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如。...
CSRF防范简介
weixin_33845477的博客
07-02 178
2019独角兽企业重金招聘Python工程师标准>>> ...
前端安全之 CSRF 攻击原理和防护方法
weixin_59124055的博客
06-13 6405
CSRF(Cross-site request forgery)简称:跨站请求伪造,学习 CSRF 攻击原理和防护方法是我们团队新成员的必修课,通常我都是先让新同学自己研究自己讲,然后我再通过其中细节再给他们讲一遍,讲的次数多了,也慢慢总结出一种比较容易理解的讲法。这里我整理成文分享给有需要的人。引言:必修课为什么选择 CSRFCSRF 涉及到的前端知识点比较多,全面理解需要系统的学习 Cookie,前端跨域,HTTP 协议,web 浏览器等知识。理解 CSRF 攻击和防护方法是前端进阶要去,我也希望大家
Django项目常见面试题
Hanmin_hm的博客
04-21 1046
1.类视图 以函数的方式定义的视图称为函数视图,函数视图便于理解。但是遇到一个视图对应的路径提供了多种不同HTTP请求方式的支持时,便需要在一个函数中编写不同的业务逻辑,代码可读性与复用性都不佳。就比如说项目里面的注册时,需要先判断用户是get请求还是post请求,然后再根据这些请求来进行处理。其他模块如果也要判断是get还是post请求的话,也要在啪啦啪啦写一遍。 如果用了类视图就不一样了...
三程(进程、线程、协程) & 三器(迭代器、装饰器、生成器)
Hanmin_hm的博客
03-09 740
三程 https://www.cnblogs.com/xiaonq/p/7905347.html#i3 进程是资源分配的最小单位( 内存、cpu、网络、io) 一个运行起来的程序就是一个进程 什么是程序(程序是我们存储在硬盘里的代码) 硬盘(256G)、内存条(8G) 当我们双击图标,打开程序的时候,实际上就是通过I/O操作(读写)内存条里面 内存条就是我们所指的资源 CPU分时 CPU比...
Btree/B+tree
Hanmin_hm的博客
02-29 383
Btree Btree是一种多路自平衡搜索树,它类似普通的二叉树,但是Btree允许每个节点有更多的子节点。Btree示意图如下: 由上图可知 Btree 的一些特点: 所有键值分布在整个树中 任何关键字出现且只出现在一个节点中 搜索有可能在非叶子节点结束 在关键字全集内做一次查找,性能逼近二分查找算法 B+tree B+树是B树的变体,也是一种多路平衡查找树,B+树的示意图为: 由图可看...
深浅拷贝 & 垃圾回收 & TCP/UDP三握三挥
Hanmin_hm的博客
03-09 376
一、深浅拷贝TCP 三次握手TCP 四次挥手 在Python中对象的赋值其实就是对象的引用。当创建一个对象,把它赋值给另一个变量的时候,python并没有拷贝这个对象,只是拷贝了这个对象的引用而已。 浅拷贝:而浅拷贝则是将一个对象的引用拷贝到另一个对象上,所以如果我们在拷贝中改动,会影响到原对象。我们使用函数function()执行浅拷贝 深拷贝:深拷贝就是将一个对象拷贝到另一个对象中,这...
Django Web开发指南源码解析与应用
Django+Web开发指南源码》是一套围绕Django框架进行Web应用开发的完整实践性资源,涵盖了从基础配置到高级功能实现的全过程。该资源以Python语言为核心,依托Django这一成熟的全栈Web开发框架,系统地展示了如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值