Django中预防CSRF攻击

最新推荐文章于 2023-08-29 10:52:09 发布
原创 最新推荐文章于 2023-08-29 10:52:09 发布 · 2.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了CSRF(跨站请求伪造)攻击的概念及其危害,并详细阐述了在Django中如何防止这种攻击,包括设置CSRF_TOKEN的过程,确保客户端与服务器的安全验证,保护用户的隐私和财产安全。
  • CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。
  • CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。
    ( 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…)
  • 造成的问题:个人隐私泄露以及财产安全。

CSRF攻击示意图

  • 客户端访问服务器时没有同服务器做安全验证
    在这里插入图片描述

防止 CSRF 攻击

步骤:

  1. 在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值
  2. 在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token
  3. 在用户点击提交的时候,会带上这两个值向后台发起请求
  4. 后端接受到请求,会做以下几件事件:
    4.1 从 cookie中取出 csrf_token
    4.2 从 表单数据中取出来隐藏的 csrf_token 的值
    4.3 进行对比
  5. 如果比较两个值(经过算法运算得出的结果)是一样,那么代表是正常的请求,如果没取到或者比较不一样,代表不是正常的请求,不执行下一步操作
    在这里插入图片描述

CSRF_TOKEN的设置过程

  1. 创建视图类

最低0.47元/天 解锁文章
【python】深入探讨flask是如何预防CSRF攻击
景天科技苑
03-29 1万+
详述CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 攻击者通过HTTP请求将数据传送到服务器,从而盗取回话的cookie。盗取会话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息。 flask可以通过第三方插件轻松预防CSRF攻击,本文详细阐述这个。
Django预防CSRF攻击的操作
12-20
CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF攻击者盗用了你的身份,以你的名义发送恶意请求。 ( 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…) 造成的问题:个人隐私泄露以及财产安全。 CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 防止 CSRF 攻击 步骤: 1. 在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值 2. 在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token 3. 在用户点击提交的时候,会带上这两个值向后台发
Python DjangoCSRF攻击CSRF防御
houyanhua1的专栏
12-14 484
  项目名/settings.py(项目配置,csrf中间件配置): MIDDLEWARE_CLASSES = ( 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.Cs...
django CRSF的认证和取消认证
g_uiop123的专栏
08-02 1149
在使用POST接口的时候经常会出现403的情况,这是CRSF的认证,下面说说CRSF的认证情况 一、在setting中MIDDLEWARE,这儿的加上认证,代表的是全局认证 如果你不想让CSRF在网站里面进行认证,可以直接注释点红色框中的就可以 二、如果这是想让你的函数里面有一个函数不需要认证,就需要引入第三方包,在使用装饰器@csrf_exempt就可以,比如: from django.views.decorators.csrf import csrf_exempt #取消csrf校验 f
DjangoCSRF 保护机制
weixin_34348174的博客
12-02 300
django 有多久,我跟 csrf 这个概念打交道就有久了。 每次初始化一个项目时都能看到 django.middleware.csrf.CsrfViewMiddleware 这个中间件 每次在模板里写 form 时都知道要加一个 {% csrf_token %} tag 每次发 ajax POST 请求,都需要加一个 X_CSRFTOKEN 的 header 但是一直我都是...
django之防止CSRF攻击
weixin_45912307的博客
10-10 263
1. 在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值 1.生成 csrf_token 的值 2.在返回转账页面的响应里面设置 csrf_token 到 cookie 中 3.渲染转换页面,传入 csrf_token 到模板中 def get(self, request): # 1.生成csrf_token from django.middleware.csrf import get_token csrf
Django中实施CSRF防御策略详解
以下是在Django预防CSRF攻击的关键步骤和实践: 1. **在响应中设置CSRF Token**: 当客户端尝试与后端交互时,后端会在HTTP响应头或cookie中附带一个名为`csrftoken`或`CSRFToken`的随机令牌。这个token是一个...
django如何防止csrf(跨站请求伪造)
weixin_41918841的博客
09-01 805
什么是CSRF 什么是CSRF 下面这张图片说明了CSRF攻击原理: Django如何防止CSRF(跨站请求伪造) Django中如何防范CSRF Django使用专门的中间件(CsrfMiddleware)来进行CSRF防护。具体的原理如下: 1.它修改当前处理的请求,向所有的 POST 表单增添一个隐藏的表单字段,使用名称是 csrfmiddlewaretoken ,值为当前...
DjangoCSRF攻击原理及其防御方式
Shaun_X
03-18 1010
攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。
Django CSRF
光明小学王小雨的博客
12-16 2046
一、CSRF攻击攻击原理及过程 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式 1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B...
django csrf攻击 防御 csrf_token 200318
鲸鱼编程-python全栈
03-25 178
Django解决CRSF问题
卧龙居
10-20 1792
1.在form中加入{% crsf_token %} 2.使用RequestContext而非Context,在view中: return render_to_response('login.html',RequestContext(request,{'username':username})) (from django.shortcuts import render_to_response
Django CSRF 说明与配置
wanglei_storage的博客
12-21 3721
Django 默认对GET请求不做CSRF防御机制 Django 只对POST请求做CSRF防御机制 一、CSRF是什么 CSRF 全称(Cross Site Request Forgery)跨站请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。你可以这样理解:攻击者(黑客,钓鱼网站)盗用了你的身份,以你的 名义发送恶意请求,这些请求包...
csrf攻击的原理和Django防范csrf攻击的方法
Krystal优快云的博客
11-10 530
csrf攻击的原理 CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作。比如说,受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/withdraw?account=bob&amount=1000000&for=bob2 可以使 Bob 把 1000000 ...
Django框架之CSRF使用篇
json_li的博客
07-12 1173
Csrf验证在项目中对于安全非常重要,通过上述的csrf设置与使用,对django框架又增加了一些了解,在使用上可以更加的灵活。
DjangoCSRF原理及应用详解
热门推荐
AlexGeek
09-22 1万+
 Web开发中十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造(CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
【安全】(二)Djangocsrf防御
财迷的博客
02-28 1434
【安全】(二)Djangocsrf防御
Django基础7——用户认证系统、Session管理、CSRF安全防护机制
百慕卿君博客
08-29 1431
1、Django内置auth模块实现的用户认证系统。 2、Django Session管理,自主开发用户认证系统(基于装饰器)。 3、CSRF安全防护机制。
Django中使用Ajax时使用CSRF保护
silent_missile的博客
11-05 1050
Django中使用Ajax时使用CSRF保护需要服务器设置CSRF的相关选项。并且在客户端读取特定的信息,然后采用特定的格式发送给服务器才能正确处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值