关于前后端分离项目中CSRF等一系列问题的理解小结

原创 已于 2023-07-07 23:33:26 修改 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #前端

于 2023-07-06 00:59:06 首次发布
本文总结了在前后端分离项目中遇到的CSRF和CORS问题,包括CSRF Token生成、服务端CORS限制、浏览器跨域设置Cookie策略以及Django的CSRF策略对跨域的限制。作者详细描述了解决这些问题的过程,最终通过代理方式解决了跨域问题,并提供了相应的配置代码。

最近陆陆续续的在学习前后端分离的知识,期望通过这个方式了解前后端各自的技术栈以及前后端交互的具体实现方式,经过自己挑选,最终选择了Vue+django的技术栈,而在实现Vue和django交互的过程中,遇到的第一个问题就是CSRF的问题,为了理解和解决这个问题,自己查询了很多博主的资料,又引出了CORS的问题,这两个问题交织在一起比较繁琐,特此在这里将自己的理解进行一个总结

一、问题的起因

问题的起因:希望在Vue上实现的表单能够通过post请求将数据发送到服务端,例如登录信息等等,为了功能的安全考虑(包括也为了尝试理解CSRF的逻辑),决定在保留django自带的csrf功能的前提下实现相关功能,进而引出一系列问题

二、尝试使用CSRF防御功能引入的问题汇总

1. CSRF Token生成问题

要引入CSRF功能,需要在前端使用get请求第一次访问服务端时生成相关的Token,关于这个生成方法网上有很多文章,但是自己试用下来并不能正常运行,最后不断尝试,总算发现了如下的方式,即,在服务端处理get请求的View函数中,主动的获取token:

from django.http import HttpResponse
from django.middleware.csrf import get_token
 
 
def index(request):
    if request.method == "GET":
        get_token(request)
        resp = HttpResponse('[Get Request]Hello from MSB4011')
        return resp

通过这种方式,当前端请求服务端的这个接口是,服务端将自动返回csrftoken并且储存在cookies中,这样前端就可以获得对应的token,并在后续的post请求中加入'X-CSRFTOKEN': csrftoken来完成相关的认证。需要注意的是,get_token函数本身返回的token并不是标准的csrftoken,而是经过加密计算的,因此很多网络博客写到的用一个变量获取get_token的返回,在通过response的方式返回给前端的逻辑应该是行不通的,不信可以看csrf库里面的代码:

def get_token(request):
    """
    Return the CSRF token required for a POST form. The token is an
    alphanumeric value. A new token is created if one is not already set.

    A side effect of calling this function is to make the csrf_protect
    decorator and the CsrfViewMiddleware add a CSRF cookie and a 'Vary: Cookie'
    header to the outgoing response.  For this reason, you may need to use this
    function lazily, as is done by the csrf context processor.
    """
    if "CSRF_COOKIE" in request.META:
        csrf_secret = request.META["CSRF_COO
最低0.47元/天 解锁文章
Spring Boot 中间件性能调优
AI天才研究院
08-07 1165
随着互联网web应用日益复杂化、数据量的爆炸性增长以及硬件性能的不断提升,网站的响应速度在不断提高,用户体验也得到了提升。如何提升Spring Boot应用的响应速度、吞吐量、并发处理能力等,是目前很多公司面临的问题之一。本文将通过研究主流的开源中间件对Spring Boot应用进行性能调优的方法,具体阐述性能优化过程中的原理及方法论。文章首次发布于springboot.fun。欢迎大家关注Spring Boot技术分享平台!
CSRF攻击防御,JAVA程序利用token前后端验证每一次请求进行防御
生活没有圈的博客
09-02 3636
整体思路是:访问页面就生成token,保存到session,并且前端token放进header或者追加到请求地址最后面。后端拿到header或者请求中的token后比对session与herder或者请求中的token是否一致,一致测是同一次请求。有效的防止了,攻击者不从规定页面请求接口进行篡改利用。 每次请求,地址或者header携带TOKEN到服务端验证,防止CSRF攻击 下面是JAVA后端工具类 package com.invoice.util; import java.io.IOException
前后端分离解决CSRF问题
ws_flying的博客
10-22 3662
个人记录,如有错误,敬请指出 项目环境:spring boot+shiro+jwt 简单方式直接通过nginx对Referer进行校验拦截即可,本文不做讲解 1、创建CsrfFilter import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.ht
【深入浅出 Spring Security(八)】前后端分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 4967
前后端分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
前后端分离架构下CSRF防御机制
weixin_33884611的博客
07-03 1326
  背景 1、什么是CSRF攻击? 这里不再介绍CSRF,已经了解CSRF原理的同学可以直接跳到:“3、前后端分离下有何不同?”。 不太了解的同学可以看这两篇对CSRF介绍比较详细的参考文章: CSRF 攻击的应对之道 浅谈CSRF攻击方式 如果来不及了解CSRF的原理,可以这么理解:有一个人发给你一个搞(mei)笑(nv)图片链接,你打开这个链接之后...
django前后端分离_CSRF解决方案
sola_酱的博客
06-21 2050
前言 现在都是采用前后端分离的方式,所以并不能采用传统的发送,直接在渲染页面的时间加上csrftoken。 我也看好多网上写的方案,都乱,所以我总结一下: 首先有两张方法,都是直接关掉csrf的,一个是在setting.py里面关掉csrf中间件,另一种是在view视图里面加上装饰器,以达到我们的目的,都是我觉得这样的方式太激进了,不行我们就关掉?我不喜欢这样的方法,所以我在下面没有介绍,如果你们也想这样,可以去看看别人写的,有思路,找起来也不难。 不关闭csrf的解决方案 思路 想办法在静态页面生成的
前后端分离使用 CSRF
Leon_Jinhai_Sun的博客
05-23 795
前后端分离开发时,只需要将生成 csrf 放入到cookie 中,并在请求时获取 cookie 中令牌信息进行提交即可。 修改 CSRF 存入 Cookie @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { htt
【uniapp开发最佳实践】:前后端分离下的登录流程详解(架构设计指南)
它支持开发者编写一次代码,构建多端应用,包括iOS、Android、Web(包括微信小程序和H5)等。这种方式不仅可以大幅提高开发效率,还能节省资源和时间,降低多平台开发的复杂性。 ## 1.2 前后端分离的基本概念 前后...
NodeJS单页应用(SPA)通信:构建GET和POST请求前后端交互指南
Node.js作为一种高效的服务器端技术,与单页应用(SPA)的通信至关重要。本文首先概述Node.js与SPA通信的基础知识,然后深入探讨了GET和POST请求的原理、实现与优化,重点介绍了安全性和数据验证等方面。进阶技术章节...
【Gin框架入门到精通系列13】Gin框架中的认证与授权
GopherTribe的博客
03-26 916
本文详细介绍了Gin框架中的认证与授权实现方案,包括基本认证、JWT认证、OAuth2集成以及基于角色的访问控制,帮助您构建安全可靠的用户身份验证系统,保护您的Web应用免受未授权访问。
解决django前后端分离csrf验证的问题
09-19
今天小编就为大家分享一篇解决django前后端分离csrf验证的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
前后端分离的防御csrf攻击的思路
热门推荐
京北游戏官方
12-25 1万+
学习了Spring Security权限框架后,讲到了csrf攻击的东西,前后端分离还好,我直接每次加载页面就发送token,然后我服务端的token存储在redis中就行,每次请求我都更新token,达到安全的访问。 但是前后端分离的时候,难道要前端每次都单独请求一次后端获取token吗?然后带着token再去访问后端? 那么单独的这一次请求后端怎么知道是非攻击呢? 这查了好多都没有有效的方法! 在知乎上一个大佬说: 前端直接加密生成一个token后端收到token后解密,但是后端怎么知道解密的就是
Python开发【Django】:中间件、CSRF
abchhcba2014的博客
02-04 395
CSRF 1、概述   CSRF(Cross Site Request Forgery)跨站点伪造请求,举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。   为了避免上面情况的出现,Djang...
django前后端分离csrf解决办法
qq_42402381的博客
08-30 3407
之前学习django时,总是把那个csrf的中间件注释掉,现在把这个bug修复吧。 1.定义csrftoken接口,主要是为前端设置csrftoken,相关代码如下: from django.middleware.csrf import get_token def getToken(request): token=get_token(request) return Http...
前后端分离 使用spring security的csrf
qq_44989936的博客
09-01 1796
导读:读者可以先看一下CsrfFilter类,token作用于所有post,即使没有登陆 CsrfFilter 逻辑如下: ①熟悉基本类 CsrfToken 保存了token public interface CsrfToken extends Serializable { String getHeaderName(); String getParameterName(); String getToken(); } CsrfTokenRepository 就是一个csrfto
java csrf防御_前后端分离架构下CSRF防御机制
weixin_39594312的博客
03-04 604
背景1、什么是CSRF攻击?这里不再介绍CSRF,已经了解CSRF原理的同学可以直接跳到:“3、前后端分离下有何不同?”。不太了解的同学可以看这两篇对CSRF介绍比较详细的参考文章:如果来不及了解CSRF的原理,可以这么理解:有一个人发给你一个搞(mei)笑(nv)图片链接,你打开这个链接之后,便立刻收到了短信:你的银行里的钱已经转移到这个人的帐户了。2、有哪些防御方案?上面这个例子当然有点危言耸...
React + Axios + Django前后端分离CSRF问题解决方案
05-11 5581
想直接看代码的移步GitHub: https://github.com/769484623/TestWebServer CSRF 403 Forbidden这个问题从我刚开始做这个前端登录界面的时候就遇到了,但为了不耽误学习进度关闭了Django的CSRF验证选项。 现在快要做完了,就抽出了半天时间来解决了这个问题。 并不难其实,就是网上的资料有点不靠谱= = Django的...
csrf安全问题总结
小喽喽
12-16 550
前言 刚开始从事web开发工作时,所有的web项目都使用的token机制做认证,安全性还可以,所以一直觉得就应该这样做,后来在网上看web安全问题时,才晓得还有很多产品不是这样做的,或因为历史原因,或因为没有必要 技术始终是用来服务社会发展的,我们推崇在合适的场景用适合的技术,本文就web认证这块简单说一下认证技术的合适场景 认证 认证简单理解就是一次会话的参数校验,特别的是专指于身份信息的校验,...
vue+django前后端分离 怎么解决csrf跨域问题
最新发布
09-09
在使用Vue和Django进行前后端分离时,解决CSRF跨域问题可以采用以下方法: ### Django后端处理 1. **获取CSRF Token接口**:编写视图函数获取CSRF Token并返回给前端。可以使用`get_token(request)`函数来获取CSRF Token。以下是两种不同的视图函数示例: ```python from django.middleware.csrf import get_token from django.http import HttpResponse import json # 示例1 def getToken(request): token = get_token(request) return HttpResponse(json.dumps({'token': token}), content_type="application/json,charset=utf-8") ``` ```python # 示例2 def search(request): result = {'Succeed': True, 'Data': get_token(request)} return HttpResponse(json.dumps(result, ensure_ascii=False), content_type="application/json,charset=utf-8") ``` 2. **Settings设置**:在Django的`settings.py`文件中进行相关设置,需要安装`corsheaders`库,并进行如下配置: ```python INSTALLED_APPS = [ ... 'corsheaders', ... ] # 添加中间件 MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', # 默认 'django.contrib.sessions.middleware.SessionMiddleware', # 默认 'corsheaders.middleware.CorsMiddleware', # 新增 'django.middleware.common.CommonMiddleware', # 新增 'django.middleware.csrf.CsrfViewMiddleware', # 默认 'django.contrib.auth.middleware.AuthenticationMiddleware', # 默认 'django.contrib.messages.middleware.MessageMiddleware', # 默认 'django.middleware.clickjacking.XFrameOptionsMiddleware', # 默认 ] # 跨域增加忽略 CORS_ALLOW_CREDENTIALS = True CORS_ORIGIN_ALLOW_ALL = True CORS_ORIGIN_WHITELIST = ( '*' ) CORS_ALLOW_METHODS = ( 'DELETE', 'GET', 'OPTIONS', 'PATCH', 'POST', 'PUT', 'VIEW', ) CORS_ALLOW_HEADERS = ( 'XMLHttpRequest', 'X_FILENAME', 'accept-encoding', 'authorization', 'content-type', 'dnt', 'origin', 'user-agent', 'x-csrftoken', 'x-requested-with', ) ``` ### Vue前端处理 前端第一次访问要用GET方法请求获取CSRF Token的接口,然后将获取到的CSRF Token在后续的请求中携带。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值