Django之CSRF 跨站请求伪造

最新推荐文章于 2025-01-12 07:00:00 发布
最新推荐文章于 2025-01-12 07:00:00 发布
阅读量114 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/crazy_zhangcong/article/details/88374404
本文介绍Django中的CSRF跨站请求伪造防护机制,包括全局与局部设置方法,并提供通过form表单与Ajax提交的具体实现案例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Django之CSRF 跨站请求伪造

一、简介

1、点我了解什么是跨站请求伪造
2、django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能又分为全局和局部。
  • 全局
通过修改django中settings文件中中间件列表中的django.middleware.csrf.CsrfViewMiddleware,如果注释该选项,则表示全局不启用,否则表示全局启用
  • 局部
# 该装饰器加在views中的函数上
from django.views.decorators.csrf import csrf_exempt,csrf_protect   # 导入装饰器
@csrf_protect    # 为当前函数强制设置防跨站请求伪造功能,如果settings中没有设置全局中间件,在views中的函数加上该装饰器,则表示对该函数启用CSRF功能
@csrf_exempt    # 取消当前函数防跨站请求伪造功能,如果settings中设置了全局中间件,在views中的函数加上该装饰器,则表示对该函数不启用CSRF功能

二、应用

1、通过form表单提交
  • csrf.html
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

    <form action="/csrf/" method="post">
        
        <!-- html通过该simple_tag参数由模板渲染将其转换成一个隐藏的input标签,例如:
        <input type="hidden" name="csrfmiddlewaretoken" value="9BxEgRk6hMR8bLPwLJs516YHCsNihbK47Lc3CyPASUcXZXS4r9M0j3zz2QOsmJaC"> -->
        {% csrf_token %}
        <input type="text" name="v" />
        <input type="submit" value="提交" />
    </form>

</body>
</html>
  • views.py
from django.shortcuts import render

from django.views.decorators.csrf import csrf_protect

# Create your views here.

@csrf_protect
def csrf(request):
    return render(request, 'csrf.html')   # 这个地方一定要使用render,因为要对csrf.html中的模板语言进行渲染
2、通过Ajax提交
  • csrf.html
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    {% csrf_token %}

    <input type="button" onclick="Do();"  value="提交"/>


    <script src="/static/jquery-1.12.4.js"></script>
    <script src="/static/jquery.cookie.js"></script>
    <script type="text/javascript">

        {# 从cookie中拿到csrftoken #}
        var csrftoken = $.cookie('csrftoken');

        function csrfSafeMethod(method) {
            // these HTTP methods do not require CSRF protection
            return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
        }

        {# 当所有ajax发送数据之前都执行以下这个配置,自动将cookie中的csrftoken加入到request中的head中 #}
        $.ajaxSetup({
            beforeSend: function(xhr, settings) {
                if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
                    xhr.setRequestHeader("X-CSRFToken", csrftoken);
                }
            }
        });
        function Do(){

            $.ajax({
                url:"/csrf/",
                data:{id:1},
                type:'POST',
                success:function(data){
                    console.log(data);
                }
            });

        }
    </script>

</body>
</html>
  • views.py
from django.shortcuts import render

from django.views.decorators.csrf import csrf_protect


@csrf_protect
def csrf(request):
    return render(request, 'csrf.html')
点我查看官方详细说明

posted on 2016-09-21 23:16 奋斗中的码农 阅读(...) 评论(...) 编辑 收藏

Django学习记录之——csrf跨站请求伪造校验
wcy的博客
06-04 497
文章目录csrf跨站请求伪造csrf跨站请求伪造校验django完成csrf校验form表单校验ajax进行校验csrf装饰器FBVCBV csrf跨站请求伪造 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出
csrf跨站请求伪造详解
m0_69962105的博客
11-24 1326
钓鱼网站搭建一个类似正规网站的页面用户点击网站链接,给某个用户打钱打钱的操作确确实实提交给了中国银行的系统,用户的钱也确实减少但是唯一不同的是,账户打钱的账户不是用户想要打钱的目标账户,变成了其他用户内部本质在钓鱼网站的页面针对对方账户,只给用户提供一个没有name属性的普通input框然后在内部隐藏一个已经写好带有name属性的input框如何避免上面的问题csrf跨域请求伪造校验网站在给用户返回一个具有提交数据功能的页面的时候会给这个页面加一个唯一标识。
Django中间件之csrf跨站请求伪造
weixin_46407419的博客
03-10 405
csrf跨站请求伪造 CSRF(Cross Site Request Forgery) 跨站请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。如果从名字你还不不知道它表示什么,你可以这样理解:攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私...
CSRF跨站请求伪造)深度解析
你若盛开,清风自来
01-12 2055
概念CSRF(Cross - Site Request Forgery),即跨站请求伪造,是一种网络安全攻击方式。攻击者利用用户在目标网站的登录状态,通过诱使受害者访问恶意页面或者点击恶意链接,在受害者不知情的情况下,让受害者的浏览器向目标网站发送请求,这些请求可能会执行一些对攻击者有利但对用户有害的操作,如修改用户信息、进行转账等。攻击原理大多数网站在用户登录后会建立一个会话(Session),并通过Cookie或者其他方式来识别用户身份。
DjangoCSRF跨站请求伪造(老掉牙的钓鱼网站模拟)
ama7790的博客
04-23 253
首先这是一个测试的代码 请先在setting页面进行下面操作 注释完成后,开始模拟钓鱼网站的跨站请求伪造操作: 前端代码: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</tit...
Django框架之csrf跨站请求
m0_71292438的博客
11-24 1372
csrf校验是一种用于防止跨站请求伪造(Cross-Site Request Forgery)攻击的安全措施。
Django网络安全】如何正确防护CSRF跨站请求伪造
黎明总是如期而至
04-09 1212
CSRF(Cross-site request forgery),中文名跨站请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器中的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
Djangocsrf跨站请求伪造,auth认证模块
weixin_30846599的博客
06-21 211
一.csrf跨站请求伪造: 用钓鱼网站模仿正规网站从而达到瞒天过海的操作,具体的操作如下: 首先,开一个正规网站服务器(为了模仿钓鱼,把csrf中间件关了): 视图: def index(request): username = request.POST.get('username') money = reque...
最新【Django网络安全】如何正确防护CSRF跨站请求伪造_drf csrf
2401_84281748的博客
05-04 1024
CsrfViewMiddleware中间件使用的情况下,通过中间件的process_request方法获取请求cookie中的csrftoken,通过process_view获取post、put、delete请求cookie中的csrftoken和表单中的csrfmiddlewaretoken并进行校验(不通过就是403),通过process_response设置cookie的csrftoken参数(需要登录)。主要是CSRF_USE_SESSIONS 和 CSRF_COOKIE_HTTPONLY参数。
Django CSRF跨站请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A...
Django中如何防范CSRF跨站请求伪造攻击的实现
09-19
### Django中如何防范CSRF跨站请求伪造攻击的实现 #### CSRF概念 CSRF(Cross-Site Request Forgery,跨站请求伪造),是一种常见的安全攻击手段。在这种攻击中,攻击者利用受害者的身份(通常是通过受害者已...
基于SVM算法的人民币面值识别系统:从图像处理到机器学习模型的实现与应用 · 数字图像处理
08-11
基于支持向量机(SVM)的人民币面值识别系统的设计与实现。该系统利用MATLAB GUI工具,结合数字图像处理技术和机器学习模型,能够高效识别多种面值的人民币。主要步骤包括数据集准备、图像灰度化、边缘检测、旋转矫正、形态学操作、ROI截取、加载SVM模型、面值识别及结果验证。系统目前可识别1元至100元面值,正确率达到90%以上,并可通过扩展训练数据集来提升识别精度和覆盖更多面值。 适合人群:从事图像处理、机器学习研究的技术人员,以及对人民币面值识别感兴趣的开发者。 使用场景及目标:适用于银行、自助设备、零售终端等需要快速准确识别人民币面值的场合。目标是提供一种高效、准确、易用的人民币面值识别解决方案。 其他说明:该系统不仅展示了SVM在图像分类任务中的强大能力,还通过MATLAB GUI实现了操作流程的可视化,便于用户理解和使用。未来可以通过优化算法和增加训练样本进一步提升系统性能。
ctkqiang-WangZhongZhi-62936-1753627160067.zip
08-11
点sun小白ctkqiang_WangZhongZhi_62936_1753627160067.zip
LabVIEW调用基恩士XGX8500相机实现高效画面嵌入的开源方案 权威版
08-11
如何使用LabVIEW调用基恩士XGX8500相机实现画面嵌入的技术方案。首先,文中强调了准备工作的重要性,包括安装LabVIEW及其相关驱动和SDK,获取基恩士XGX8500相机的接口文档。接着,阐述了通过调用基恩士提供的API控制相机的具体步骤,如初始化相机、设置参数、开启预览流、获取画面数据等。然后,讲解了如何将获取的画面数据嵌入到LabVIEW的程序中,通过图形界面设计使相机画面合理显示。最后,指出该方案不仅能够节省昂贵的HX软件授权费用,还因其源程序和方法的开放性,为用户提供更多定制化的可能。 适合人群:从事工业自动化、机器视觉领域的工程师和技术人员。 使用场景及目标:适用于需要集成高质量图像采集设备的工业生产和检测系统,旨在提升自动化水平和视觉信息丰富度,降低软件授权成本。 其他说明:文中附有简单代码片段,帮助读者更好地理解和实践该方案。
PANDA 真空泵 WV 1200 A、WV 1800 A 和 WV 2400 A 使用说明书.pdf
最新发布
08-11
PANDA 真空泵 WV 1200 A、WV 1800 A 和 WV 2400 A 使用说明书.pdf
基于Jenkins Pipeline实现Java项目自动化构建与发布
08-11
资源下载链接为: https://pan.quark.cn/s/22ca96b7bd39 在当今的软件开发领域,自动化构建与发布是提升开发效率和项目质量的关键环节。Jenkins Pipeline作为一种强大的自动化工具,能够有效助力Java项目的快速构建、测试及部署。本文将详细介绍如何利用Jenkins Pipeline实现Java项目的自动化构建与发布。 Jenkins Pipeline简介 Jenkins Pipeline是运行在Jenkins上的一套工作流框架,它将原本分散在单个或多个节点上独立运行的任务串联起来,实现复杂流程的编排与可视化。它是Jenkins 2.X的核心特性之一,推动了Jenkins从持续集成(CI)向持续交付(CD)及DevOps的转变。 创建Pipeline项目 要使用Jenkins Pipeline自动化构建发布Java项目,首先需要创建Pipeline项目。具体步骤如下: 登录Jenkins,点击“新建项”,选择“Pipeline”。 输入项目名称和描述,点击“确定”。 在Pipeline脚本中定义项目字典、发版脚本和预发布脚本。 编写Pipeline脚本 Pipeline脚本是Jenkins Pipeline的核心,用于定义自动化构建和发布的流程。以下是一个简单的Pipeline脚本示例: 在上述脚本中,定义了四个阶段:Checkout、Build、Push package和Deploy/Rollback。每个阶段都可以根据实际需求进行配置和调整。 通过Jenkins Pipeline自动化构建发布Java项目,可以显著提升开发效率和项目质量。借助Pipeline,我们能够轻松实现自动化构建、测试和部署,从而提高项目的整体质量和可靠性。
信捷PLC与HMI驱动的印刷机设备程序:四步进电机控制与汽缸印刷系统的开发与学习
08-11
信捷PLC与HMI驱动的印刷机设备程序,涵盖四个步进电机控制(X、Y、Z三向抓取定位放置系统)和分度转盘定位系统。程序包含详细的注释,便于理解和维护。信捷PLC采用标准工业编程语言,确保高稳定性和可靠性;HMI界面设计直观易用,增强了操作便捷性。该程序适用于表盘和电路板等印刷设备的开发,支持自动化生产和提高生产效率。 适合人群:工控爱好者、印刷设备开发者和技术人员。 使用场景及目标:①用于表盘和电路板等印刷设备的开发;②作为工控爱好者的学习参考资料;③提升自动化生产能力,优化生产流程,降低成本。 其他说明:该程序不仅为实际生产提供了技术支持,同时也帮助工控爱好者提高技术水平和实践能力。
小信号精密全波整流电路.doc
08-11
小信号精密全波整流电路.doc
mmexport1754918335551.jpg
08-11
mmexport1754918335551.jpg
Django中的CSRF(跨站请求伪造)
05-19
CSRF(Cross-Site Request Forgery)即跨站请求伪造,是一种常见的Web...总之,DjangoCSRF防护机制可以有效地保护应用程序免受跨站请求伪造攻击。如果你的应用程序涉及到敏感数据或者操作,一定要开启CSRF防护机制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值