csrf_token之全局认证与局部认证

最新推荐文章于 2025-06-09 12:28:55 发布
最新推荐文章于 2025-06-09 12:28:55 发布
阅读量630 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/aaronthon/article/details/81714491
本文详细介绍了Django中CSRF的工作原理及其配置方法。包括如何通过中间件管理CSRF验证、不同场景下如何启用或禁用CSRF保护,以及在FBV和CBV中使用CSRF的具体实践。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、settings.py没有注释到csrf。当post请求的方式会报错。

接下来就解决问题!

1. django中间件        最多5个                  
- process_request     请求                 
- process_view                 
- process_response    相应                 
- process_exception   异常                 
- process_render_template 
             
2. 中间件执行流程:             
process_request>路由匹配 找到函数不执行>process_view 
>视图函数>process_response   
           
3. 中间件的作用                 
- 权限                 
- 用户登录验证     

4. django的csrf实现功能:        
csrf在process_view方法                        
- 检查视图是否被@csrf_exempt(免除csrf认证)                         
- 去请求体或cookie中获取token

1.FBV:情况一:csrf打开,个别不需要csrf认证。在方法的上方加@csrf_exempt 。这是全局使用csrf。

2.FBV:情况二:csrf注释,个别需要csrf认证。加@csrf_protect ,这是局部使用csrf。

1.CBV:情况一:csrf打开,个别不需要csrf认证。@method_decorator  全局使用csrf。

运行结果:加在单独方法上是不行的,还是会报错。  

方式一:

方式二:加载class类上,指定方法名。装饰的位置不一样。

总结:
- 本质,基于反射来实现
- 流程:路由,view,dispatch(反射)
- 取消csrf认证(装饰器要加到dispatch方法上且method_decorator装饰)
                
扩展:
- csrf 
- 基于中间件的process_view方法
- 装饰器给单独函数进行设置(认证或无需认证)

 

aaronthon
关注
安全认证中的CSRF
梁老师教你编程序
10-26 2203
正常的访问时,客户端浏览器能够正确得到并传回这个伪随机数,而通过CSRF传来的欺骗性攻击中,攻击者无从事先得知这个伪随机数的值,服务端就会因为校验token的值为空或者错误,拒绝这个可疑请求。而,跨域转发,是没有这个过程的。这个图说明,在浏览器向服务端请求页面时,服务端将自己生成的token,返回给了浏览器,然后在发送post的时候,浏览器就带有了token。如果是,第三方网站跳转过去,就是直接操作的界面,就算是有了cookie,认证通过了,但是因为没有这个请求字段,所以操作是无法成功的。
Django:Ajaxcsrf_token
HR_tigerking的博客
12-20 1050
起因:Ajax提示403错误 闲言碎语:据课程结束还有一周多,js杀我,要加油加油。 CSRF(Cross Site Request Forgery protection),中文简称跨站请求伪造。 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局...
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
CSRF Token
最新发布
aheyor的博客
06-09 642
Pikachu的CSRF Token关卡中,若编辑请求未校验TokenToken静态固定,则Burp Suite可直接修改参数完成攻击。A[用户访问表单] --> B[服务端生成Token]欲深入Burp插件配置或Token生成源码,可参考。C --> D[用户提交携带Token的请求]D --> E[服务端校验Token一致性]B --> C[嵌入表单隐藏域/响应头]F -->|是| G[执行操作]F -->|否| H[拒绝请求]用户提交携带Token的请求。E --> F{合法?
csrf验证机制
varyall的专栏
01-19 1127
CSRF(跨站请求伪造) CSRF 英文全称为 Cross SIte Request Forgery CSRF 通常指恶意攻击者盗用用户的名义,发送恶意请求,严重泄露个人信息危害财产的安全 CSRF攻击示意图 解决CSRF攻击 使用csrf_token校验 1.客户端和浏览器向后端发送请求时,后端往往会在响应中的 cookie 设置 csrf_token 的值,可以使用请求钩子实现,...
django csrf_token实现屏蔽
FourLeafCloverLLLS的博客
12-09 2347
django中可以通过中间件实现csrf_token, 也可以屏蔽csrf_token, 至于实现原理, 我不太清楚, 我做项目的原则是先会使用, 然后再慢慢深入原理,先说说全局使用吧 django全局的中间件在setting.py文件中, 所谓全局就是指django架构的所有视图和类都得执行的操作, 比如在全局中间件中使用了csrf_token认证, 则整个架构都得满足, 反之, 架构所有内容...
设置全局csrf跨站请求伪造
anhui5201314456的博客
10-16 176
function csrfSafeMethod(method) { // these HTTP methods do not require CSRF protection return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method)); } $.ajaxSetup({ ...
django CRSF的认证和取消认证
g_uiop123的专栏
08-02 1127
在使用POST接口的时候经常会出现403的情况,这是CRSF的认证,下面说说CRSF的认证情况 一、在setting中MIDDLEWARE,这儿的加上认证,代表的是全局认证 如果你不想让CSRF在网站里面进行认证,可以直接注释点红色框中的就可以 二、如果这是想让你的函数里面有一个函数不需要认证,就需要引入第三方包,在使用装饰器@csrf_exempt就可以,比如: from django.views.decorators.csrf import csrf_exempt #取消csrf校验 f
django-csrf使用和禁用方式
12-20
var token = $.cookie('csrftoken'); $.ajax({ url: '/csrf1.html', type: 'POST', headers: { 'X-CSRFToken': token }, data: { "user": user }, success: function(arg) { console.log(arg); } }); ```...
Django进阶之CSRF的解决
09-20
**全局局部CSRF保护** 全局CSRF保护是通过启用`CsrfViewMiddleware`中间件实现的。在Django的`settings.py`文件中,确保`MIDDLEWARE`设置中包含`'django.middleware.csrf.CsrfViewMiddleware'`。一旦全局启用,...
Drf之局部认证全局认证(六)
我不会玩csdn,我兄弟没面子。
07-08 839
登录的token操作 # app.models.py:表结构 class User(models.Model): user = models.CharField(max_length=32) pwd = models.CharField(max_length=32) class UserToken(models.Model): token = models.CharFie...
【SpringSecurity】CSRF、环境配置、授权、认证功能、记住我功能实现
m0_73976305的博客
06-08 1093
SpringSecurity CSRF跨站请求伪造攻击 开发环境搭建 认证 直接认证 使用数据库认证 自定义登录界面 授权 基于角色的授权 基于权限的授权 使用注解判断权限 记住我 SecurityContext
CSRF认证的几种方法
UncleGen的博客
07-17 3317
前言 在使用Django框架编写网页,使用AJAX技术进行前后端数据交互的时候会遇到csrf(Cross-site request forgery跨站请求伪造)问题,get请求不影响,post就需要csrf认证。 环境 Django 2.0.6 方法 在登陆表单中添加CSRF方法: <form action="{% url 'login_check' %}" met...
关于CSRFcsrftoken
猪肉炖白菜
05-08 960
CSRF 虽然利用了session验证机制的漏洞,一般使用加密token的方式防御,但是其本身和session以及JWT token没有直接联系。 描述# CSRF利用用户正常登录产生的cookie,利用钓鱼网站传给用户发送一张有内容的表单,并携带用户的正常cookies访问网站,达到将伪造的表单通过用户之手传到网站上的目的。为了避免用户提交其他网站生成的表单,网站在用户登录时签发给用户一个c...
python必备代码_Python常用代码
weixin_39983563的博客
11-27 119
python使用时间戳命名文件名import timefilename = time.strftime("%Y-%m-%d-%H_%M_%S",time.localtime(time.time())) + '.jpg'更简化的方法:filename = time.strftime("%Y-%m-%d-%H_%M_%S.jpg")取得当前脚本所在文件夹下的所有文件import sysfiles = ...
csrf token作用
neu_xiaolu的博客
06-05 1万+
作用: 是防御CSRF攻击。 如何生成? 在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。 应用: 表单中:添加隐藏字段csrf_token,来启用csrftoken验证 <form action="/add-...
Django day15 (二) csrf的 跨站请求伪造 局部禁用 , 局部使用
weixin_30621711的博客
11-23 80
一: csrf 的跨站请求伪造 二: csrf局部禁用 , 局部使用 转载于:https://www.cnblogs.com/zedong/p/10009857.html
laravel的 csrf 防御机制详解,form 中 csrf_token() 的存在
Jesse
06-17 1万+
一、 什么是 CSRF ? CSRF是Cross Site Request Forgery的缩写,看起来和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF是伪造成合法用户发起请求。具体操作原理看google。。二、Laravel的CSRF防御过程 Laravel 会自动在用户 session (根据session_id 关联确认属于谁) 生成存放一个随机令牌(t
Session、Token验证的区别以及CSRF攻击
近光的博客
06-06 8120
Session是什么 session意为“会话”。我们都知道HTTP是无状态的协议,但有时我们需要保存状态来进行后面的操作,比如某个电商网站的购物车功能(在不登录的情况下,也就是不使用数据库),如果不使用session,那么每次添加物品到购物篮后都不会保存,结果就是刷新一下购物篮就会变成空的。所以我们需要这个session来保存一定的状态。当用户打开某个网页的时候,就发生了一次会话,也就是...
apipost我设置了Header为Cookie:ztsg_uuid=c61bb9d1b7a03050-b5a8-4c77-8433-324185b30b18;lang=zh;idss_cid=9e6e7e2d-53df-4a2f-82d3-b942a374cc13;ztsg_ruuid=fc5df07e8133c91e-69fc-4cf6-9efa-4d5b8c9b020c;env_token=uat;mtl-tactic-x-csrf-token=GWF884C46143705C3FF243C4DD305AE57840829A038ACEFE4E5B28549A7267185E;mkt-plan-x-csrf-token=GWF884C46143705C3FF243C4DD305AE57840829A038ACEFE4E5B28549A7267185E;mkt-budgetbcm-x-csrf-token=GWF884C46143705C3FF243C4DD305AE57840829A038ACEFE4E5B28549A7267185E;mtl-exhibition-x-csrf-token=GWF884C46143705C3FF243C4DD305AE57840829A038ACEFE4E5B28549A7267185E;login_uid=24-86-3F-39-C0-69-21-6C-1C-BC-56-41-9E-69-20-A1;login_sid=9E-9E-05-2C-21-C5-62-21-8A-DC-DA-30-B6-C3-05-66-2A-6A-22-D8-FD-87-71-11-31-2A-A5-47-5E-74-02-98-01-CA-EA-F0-2E-D6-0E-54-C8-A3-87-64-BA-AC-70-BA-BD-B0-89-4D-C4-54-80-37;login_logFlag=in;suid=24-86-3F-39-C0-69-21-6C-1C-BC-56-41-9E-69-20-A1;hwssot3=31264256451357;hwsso_login=V004acJSvMCoDZR1HsGNeehVSGdrIq7uqv0YksjghvQ6wLZScfwwMCAFWHZ_aMCWlxDELqUCrAuCVXIVmd5tS_aektXgeejn6aBJe5V_a8V0BUHPqgD_bVMWDN1IUUF_byYsNC9M1qljFzf9mLl1w1Gm80qfw1qjB3KW4wmVzgJu2hwBWJChq4GEY3YHOLDZsrfvOslOYegtbClEfaiQrYo7p94dYxPFu4YenuHNtYfZkMn4bFuBGKpsHmqK0IsqT2Wn9sNL_bX5VWl_b_aqOK_aRQh6ivGcUsusE_bjv0ZalbtAscHtDs9fzSBs_b12IR1HY8lyBcwY0zrjklZkxX8yuUVJHjnrpH_bsQ_c_c;hwsso_am=77-22-F7-0E-84-9F-31-CD;hwssot=F6-89-42-F8-53-4A-7B-8C-4C-61-5D-EF-E8-D7-D5-88; mtl-workplace-x-csrf-token=GW5BA945D1B11413085D5CBF9605A81C084122D918D9260F14E0C65DD7EB1B3EEA 但是在实际请求中是curl --request POST \ --url https://kwesit.huawei.com/mktbudget/apigateway/com.huawei.ipd.mtl.workplace:workplace_service/mtl_onestop/services/mtl/organization/getOrganizationItemList \ --header 'Accept: */*' \ --header 'Accept-Encoding: gzip, deflate, br' \ --header 'Connection: keep-alive' \ --header 'Content-Type: application/json' \ --header 'Cookie: ztsg_uuid=e8ff9be75a2146b3-1989-4d9e-96d3-adb3d69946d2;ztsg_ruuid=4e588150832c6bb2-df45-4f76-83c9-074214ee85f9' \ --header 'Referer: https://kwesit.huawei.com/web/mtl_onestop' \ --header 'User-Agent: PostmanRuntime-ApipostRuntime/1.1.0' \ --header 'X-csrf-token: GW5BA945D1B11413085D5CBF9605A81C084122D918D9260F14E0C65DD7EB1B3EEA' \ --data '{ "pageReq": { "curPage": 1, "pageSize": 10 }, "typeCode": "RepOffice", "itemCode": "", "name": "", "parentCode": "", "businessStateCode": "073287" }'
03-19
- 检查是否存在全局/环境变量中的Cookie定义,Apipost的变量优先级为:`局部变量 > 环境变量 > 全局变量` - 解决方案:在接口的Headers中直接写固定值,或在变量名添加唯一前缀如`{{my_cookie}}` 2. **自动Cookie...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值