【Django 024】中间件Middleware(三):Django自带csrf中间件源码分析以及跳过csrf报错的四种方法

最新推荐文章于 2022-12-11 20:28:55 发布
最新推荐文章于 2022-12-11 20:28:55 发布
阅读量1.2k 收藏 4
点赞数 3
CC 4.0 BY-SA版权
分类专栏: Python - Django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Victor2code/article/details/105585053

Django作为一个重量级框架,其已经事先为我们内置了很多安全模块,CSRF中间件就是其中之一。那么究竟什么是CSRF,其中间件工作原理是怎样的,我们又应该如何去使用CSRF呢。这一篇文章我们一起来深入学习一下。

我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。

文章目录

什么是CSRF

CSRF,全程Cross Site Request Forgery,中文名“跨站请求伪造”。

前面学习三种会话技术的时候,我们了解了cookie和session(session也借助于cookie)。假设用户小付在某网站www.alotofmoney.com已经经过认证获得了cookie或者session存储在本地浏览器,此时坏人发给小付一个网址,里面有个链接,点击以后会访问www.alotofmoney.com的一个汇款API。因为已经经过了认证,所以受害者小付此时用刚才同样的浏览器访问这个API是会成功的,即使这并不是他的本意。

这种利用已经被服务器信任的浏览器,伪造用户请求的攻击方式,就叫CSRF。

CSRF的防范策略

目前有下面三种方式可以用来防范CSRF:

  • 利用token

既然存储在浏览器中的cookie那么轻易被利用,那么就不用浏览器中的cookie了,利用本地数据库或者文件中记录的token信息来访问网站。关于token的使用可以参考我的另一篇博客《【Django 014】Django2.2会话技术之Token》

  • 确认referer

在网页跳转的时候,request头中会带有一个referer,在处理敏感请求的时候,referer应该和目标url属于同一个域名。而CSRF中的referer却是坏人自己的网站,所以会失败。但是类似爬虫可以修改请求header一样,难保坏人不去手动修改这个字段。所以这个检测手段简单但并不一定可靠

  • 给网页添加特殊cookie

这是Django中使用的方法。可以在网页中添加一些代码,使得该网页在发送请求的时候会带上一些特殊cookie,这个cookie在服务端可以被验证。如果验证通过标明是受信任的网页,反之则访问被拒绝。

Django中的CSRF中间件

下面重点来看看Django中实现CSRF的中间件。

新建的项目就会自带下面的这个中间件

'django.middleware.csrf.CsrfViewMiddleware',

点进去看看源码。

类的结构

先看下类大概长啥样
1-csrf.png
和所有中间件一样,继承自MiddlewareMixin,是一个类装饰器。除了魔术方式以外一共还有7个方法

  • process_request
  • process_view
  • process_response

这是我们前面说的5个切点中的3个,前两个在请求阶段,最后是在返回阶段。

  • _accept
  • _reject
  • _get_token
  • _set_token

这4个方法用来被上面3个切点调用,完成特定功能。以单下划线开头,表示不建议被外部访问。

下面就从数据流的方向依次看看这3个切点完成的功能。

process_request

其代码如下

def process_request(self, request):
    csrf_token = self._get_token(request)
    if csrf_token is not None:
        # Use same token next time.
        request.META['CSRF_COOKIE'] = csrf_token

本质就是从请求中拿到一个csrf_token的值,如果能拿到,放到请求的元数据中供后面使用。

重点看下用来获取这个csrf_token的函数_get_token

def _get_token(self, request):
    if settings.CSRF_USE_SESSIONS:
        try:
            return request.session.get(CSRF_SESSION_KEY)
        except AttributeError:
            raise ImproperlyConfigured(
                'CSRF_USE_SESSIONS is enabled, but request.session is not '
                'set. SessionMiddleware must appear before CsrfViewMiddlewar
最低0.47元/天 解锁文章
DjangoCSRF中间件django.middleware.csrf.CsrfViewMiddleware
weixin_42213622的博客
10-09 1253
文章目录1 csrf中间件功能及原理 1 csrf中间件功能及原理 CSRF # 表示django全局发送post请求均需要字符串验证 功能:防止跨站请求伪造的功能 工作原理:客服端访问服务器,在服务端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器时,服务器会到客户端查找先前返回的字符串,如果找到则继续,找不到就拒绝。 访问流程:客户端 —> URL路由系统—> CSRF—> 视图函数 需要在客户端页面的post表单中添:{% csrf_token%}
DjangoCSRF防御全过程解析以及中间件作用机制
Deft_MKJing的博客
05-21 2692
前言 XSS和CSRF攻击的基础原理这里就不介绍了,之前写了一篇文章单独介绍的很详细了,传送门,这里我们直接以Django为分析对象,分析中间件csrf生成原理以及防范Token如何运作的。 CSRF中间件 官方文档介绍的也是表面,本文通过源码层面直接分析流程 官方文档针对CSRF的介绍以及参数配置 传送门 Settings文件 Setting.py中有茫茫多的配置选项。传送门 Django全流程...
django不关闭CSRF中间件,自定义通过CSRF检测的post请求
我就叫贝塔
07-07 1424
在正式环境下,不关闭csrf中间件,自定义跳过csrf检测的post请求 1.在资项目中创建middleware.py文件: 2.在middleware.py文件中写入以下代码: 将需要跳过csrf检测的post请求,加入到URL_LIST 列表里即可 import re from django.utils.deprecation import MiddlewareMixin class IgnoreCrsfMiddleware(MiddlewareMixin): def process_r
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
主要介绍了详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
DjangoCSRF中间件 'django.middleware.csrf.CsrfViewMiddleware',
weixin_33971130的博客
04-03 745
1、DjangoCSRF中间件的工作原理及form表单提交需要添加{% csrf_token %}防止出现403错误 CSRF # 表示django全局发送post请求均需要字符串验证功能:防止跨站请求伪造的功能工作原理:客户端访问服务器端,在服务器端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器端时,服务器端会到客户端查找先前返回的字符串,如果找到则继续,找...
django csrfMiddleware的一些理解&跨站和跨域
General_zy的博客
11-05 820
但是需要注意的是,仅仅依靠跨域请求的限制是不够的,因为攻击者可能通过其他手段窃取到用户的Cookie信息,例如使用钓鱼网站欺骗用户输入用户名和密码等敏感信息,从而获取用户的Cookie。但是需要注意的是,这种限制仅仅是在浏览器层面上生效的,如果攻击者使用其他方式(例如在服务器端发起跨域请求)绕过了浏览器的限制,则依然可能窃取到用户的Cookie信息,造成安全威胁。因此,在开发时应该采取多种措施,例如限制Cookie的作用域、使用安全的传输协议(如HTTPS)、对Cookie进行加密等,来保护用户的安全。
Django 中间件csrf跨站请求
go|Python的个人博客
02-28 744
文章目录Django框架的第十一次叒叕Django中间件自定义中间件csrf中间件介绍csrf校验使用csrf相关装饰器importlib基于Django中间件的重要编程思想 Django框架的第十一次叒叕 Django中间件 按照官方说法:Django中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用在全局范围内改变Django的输入和输出。每个中间件组件都负责做一些特定的功能。 简单点说Django中间件就是Django的门户,主要功能有两点 请求来的时
中间件csrf
大多博客仅为学习笔记使用
12-11 295
目录-中间件--介绍--自定义中间件---方法---process_request(self, request)---process_response(self, request, response)---process_view(self, request, view_func, view_args, view_kwargs)---process_template_response(self, request, response)---process_exception(self, request, ex
解决Django提交表单报错:CSRF token missing or incorrect的问题
09-17
Django框架中,CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种重要的安全防护机制,用于防止恶意用户模拟已登录用户的操作。当你遇到"CSRF token missing or incorrect"的错误时,通常意味着Django无法...
深入理解Django中间件middleware
09-20
Django中间件Django框架的一个重要组成部分,它允许开发者介入请求和响应的处理过程,为Django项目的请求处理流程添加自定义的行为。它的工作原理类似于“钩子”(hooks),能够在其内部预定义的方法中插入自定义...
django免除csrf校验
qq_42486675的博客
07-15 1万+
django中默认启动csrf校验,当用户发起post请求时,必须携带csrf_token参数。如果不想使用csrf校验时,可以使用以下方式免除校验。以下方式都是在局部中使用,如果想全局禁用时,需要在settings文件中配置,这种方式不推荐使用。
爬取Django 绕过csrf实现批量注册
triangle的技术博客
03-25 780
本文只是提供一些经验,实际情况下因地制宜。 自己做了个Django项目,缓存用的是redis,部署到云服务器上,想要通过爬虫自动化注册账号。话不多说,一步步做。 首先要准备账号数据,chorme利用ctrl+shift+i看一下注册提交的是什么数据。因为post提交有个csrf验证的东西,还有个验证码,这个我们先不管,先把其余数据处理好。 当然也可以做成json格式,这里用的是...
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。 教你如何在AJAX请求上设置令牌。
django的form表单及ajax提交的数据中添加认证的csrfmiddlewaretoken
旷古的寂寞的博客
09-28 6036
 1. 对于ajax提交数据,把下面的代码加入到js的头部,可以保证ajax执行时自动提交参数csrfmiddlewaretoken。 $.ajaxSetup({data: {csrfmiddlewaretoken: '{{ csrf_token }}' }}); 2. 对于form表单提交数据,在表单内部加入{% csrf_token %}标签,会自动生成一个input标签 <f...
Django 中针对基于类的视图添加 csrf_exempt
热门推荐
kongxx的专栏
08-17 2万+
Django中对于基于函数的视图我们可以 @csrf_exempt 注解来标识一个视图可以被跨域访问。那么对于基于类的视图,我们应该怎么办呢?简单来说可以有两种访问来解决方法一:在类的 dispatch 方法上使用 @csrf_exemptfrom django.views.decorators.csrf import csrf_exemptclass MyView(View): def g
Django的cs rf token验证
qq_41048761的博客
03-12 528
CSRF(Cross Site Request Forgery protection),中文简称跨站请求伪造。django中对POST请求,csrf会进行认证处理,csrf认证机制是防御跨站伪造功能,在没有任何处理的前提下,POST请求会报错Django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 token,把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token,这样就能避免被 CSRF 攻击。 例子如下: login.html页面: 浏
Django 中的 csrf_token 与单元测试报错处理
涂修竹的专栏
06-06 1441
在Harry J.W. Percival 所著的中的第五章,在单元测试部分存在一个bug。 即,在高版本的Django(>1.7)中,在渲染模板时,Django 会把这个模板标签替换成一个<input type="hidden">元素,其值是CSRF 令牌。 from django.test import TestCase from django.core.urlresolvers imp
Django CSRF处理
GrandG7的博客
11-28 329
1、setting中默认在MIDDLEWARE中设置了django.middleware.csrf.CsrfViewMiddleware,官方文档建议不要把它删了。 2、GET请求(安全的操作)不要做GET之外的操作(side effect free)。POST,PUT,DELETE方法(不安全的操作),按照以下方法来做。3、<form>表单后一律加上{% csrf_token %},这样在网页加
Django中间件解析
bocai_xiaodaidai的博客
03-20 1445
一、什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。 每个中间件组件都负责做一些特定的功能。但是由于其影响的是全局,所以需要谨慎使用,使用不当会影响性能。 说的直白一点中间件是帮助我们在视图函数执行之前和执行之后都可以做一些额外的操作,它本质上就是一个自定义类,类中定义了几...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值