python简易实现的 csrf防护

最新推荐文章于 2025-03-31 19:06:24 发布
最新推荐文章于 2025-03-31 19:06:24 发布
阅读量578 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Flask python web csrf 文章标签: token csrf 登录 python localStorage
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/he93007/article/details/84650984
本文详细讲解了在不使用flask-wtf库的情况下,如何手动实现CSRF防护。从用户发起登录请求开始,到后端生成并返回token,再到前端如何保存和使用token,最后介绍了后端API如何验证前端传来的token。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

上一篇讲的是用flask-wtf这个库实现csrf防护

https://blog.youkuaiyun.com/he93007/article/details/79980956

 

这篇讲一下手动实现.

按业务流程来讲

1 用户发起了登录请求

 {username:xxxx,passwd:xxxx}

 

2 后端查询数据库 用户名密码是否正确,是否存在用户

 

3 存在用户且密码正确,我们则需要返回一个token.

查数据库or缓存查看token(我们这里只生成一次,所以查看token,你也可以每次都生成新的)

     有token返回它.,

如果已经过期或者没有token.

    则生成一个新的token

 

python 有 uuid模块

import uuid

# 方法指定一个32个字符构成的字符串来创建一个UUID对象

token=uuid.uuid1().hex

 

4 保存token,一般来说保存在mysql/postgresql 的用户表里的token字段就可以了,为了高并发你也可以保存在

redis(缓存还能设置有效期)     比如 token_userid_123: xxxxxx

 

5 前端收到token

{code:200,msg:'登录成功',token:'xxxxxxx'}

 

6 前端保存这个token

html5标准中一个亮点就是提供了浏览器本地存储的功能.除了cookie

我们还可以存在localStorage里面.并且有浏览器的同源策略的保护.

 

7 登录状态实现

前端访问需要登录的api时,可以先访问浏览器localStorage,获取token

将token放入请求中

{token:'xxxxx',adb:'abc',xyz:'xyz'} 

 

8 后端api验证----需要登录的api

获取到前端的token.查询缓存or数据库.同时还能查询出用户信息.进行后续操作.

 

 

 

 

 

 

 

Pythoncsrf攻击与防御
開開吣吣的博客
10-14 651
CSRF概念 CSRF跨站点请求伪造(Cross—Site Request Forgery)。 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 CSRF攻击原理以及过程 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登...
python模拟开发WebQQ(三)处理CSRF
yill_h的博客
06-24 811
对跨站域请求伪造(csrf)的处理,提高软件安全性 当直接post没有加验证时会出现403错误。 这是由于csrf出现的问题     csrf的定义如下: 一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片消息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接,
Python-csrf
傻瓜的专栏
12-05 1400
<br />CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。<br /> <br />解决方法:<br />(1)在setting中:增加红色的三行<br />MIDDLEWARE_CLASSES = (<br />    'django.middleware.common.CommonMiddleware',<br />    'django.contrib.sessions.middleware.SessionM
pythonCSRF设置(一)
野先生的专栏
10-31 2466
pythonCSRF设置一 csrf:跨站请求伪造,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成 1、单个ajax提交设置,在ajax内添加:headers: {‘X-CSRFtoken’: $.cookie(‘csrftoken’)}, $('#btn').click(function () { $.ajax({ ...
csrfpython中的运用格式
Dai_yinian6的博客
06-23 511
# 导入生成 csrf_token 值的函数 from flask_wtf.csrf import generate_csrf # 调用函数生成 csrf_token csrf_token = generate_csrf()@app.after_request def after_request(response): # 调用函数生成 csrf_token csrf_token =...
Python Flask框架实现简易版公告板
- Flask应用的安全性需要开发者注意,如CSRF保护、SQL注入防护等。 **HTML基础知识点** - HTML是构成网页内容的标记语言,定义了网页的结构和内容。 - HTML文档是由一系列的元素(elements)组成的,每个元素由...
利用Python和MySQL开发简易Web论坛系统
实现用户认证系统时,需要考虑安全性问题,比如密码加密存储(使用如bcrypt的库)、防止SQL注入(使用参数化查询)、XSS攻击防护(对用户输入进行适当的编码)、CSRF攻击防护(使用CSRF令牌)等。 6. 用户界面...
基于Python Django开发的简易客户关系管理系统
Django框架提供了许多安全特性,例如内置的用户认证系统、CSRF防护、XSS防护等。此外,CRM系统还需要定期备份数据,以防止数据丢失。 #### 5. 系统集成 CRM系统可能会与其他业务系统如ERP(企业资源计划)、邮件...
Django_Sample:Python开发者的简易文档指南
- 安全性:强调Django提供的内置安全特性,如CSRF保护、XSS防护等。 - 静态文件和媒体文件:介绍如何在Django项目中管理静态文件和媒体文件。 3. 示例方法 - 代码示例:文档中可能会提供一些简单的代码示例,...
Python 博客
10-20
2. CSRF与XSS防护:为了防止跨站请求伪造和跨站脚本攻击,需要在关键操作中添加CSRF token,并对用户输入进行过滤和转义。 3. 性能优化:合理使用数据库索引,避免全表扫描;对于大量数据,考虑分页显示;使用缓存...
Python随笔之CSRF问题解决办法
Chris Mao的专栏
09-14 773
在学习Django之初,遇到这样一个问题,就是在提交数据的时候会出现如下图所示的错误   在网上找了一些解决方法,发现下面这个方法还是比较简单的。 就是在settings.py文件里面的MIDDLEWARE_CLASSES中加入''django.middleware.csrf.CsrfResponseMiddleware',错误就可以消除了。   版权声明:本文为博主原创文章,...
Python CSRF(跨站请求伪造)防御机制
最新发布
2501_90934827的博客
03-31 1580
CSRF攻击的核心在于利用了用户的浏览器会话状态。当用户已经登录到某个网站时,攻击者可以构造一个恶意链接或表单,诱使用户点击或提交。由于浏览器会自动附带用户的认证信息(如Cookie),服务器无法区分该请求是合法的还是由攻击者伪造的。本文介绍了Python中常见的CSRF防御机制,重点探讨了Django和Flask框架的具体实现方式。无论选择哪种框架,都需要遵循最佳实践,确保应用程序的安全性。希望读者能够从中获得启发,在实际项目中更好地应对CSRF威胁。```
Python:djanjo之csrf防跨站攻击
weixin_42161670的博客
05-08 640
一.CSRF简介 CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 CSRF漏洞现状? CSRF这种攻击方式在
python 中的 csrf(xsrf: 在 tornado 中) 和 cors
xinxinNoGiveUp的博客
12-26 1703
csrf 跨站请求伪造csrf( cross-site request forgery) 属于一种跨站攻击, 在 tornado 中被称为 xsrf
Python学习笔记:6.3.11 csrf攻击与防范
元文的博客
02-17 457
简介:讲解了什么是CSRF、flask中如何使用表单的CSRF保护以及AJAX的CSRF保护等内容
csrf学习笔记(Python
zhagn_zhen的博客
11-21 135
用户的每一个请求都会刷新token,因此为了获取新鲜可用的token,采用ajax或者引入jQuery进行异步提交,不刷新用户页面的情况下先获取token,再进行信息修改。2、用外部引入js的形式,写进用户的服务器中(下面仅仅是举个例子,实际中要找用户服务器上我们可以进行输入的地方,比如服务器上的留言、发帖等可以被用户加载到的地方)1、用户愿意点击链接(如果对方服务器存在xss漏洞,写一个存储型xss,只要用户加载页面就会实施我们伪造的请求,不过既然都写存储型了,何必再用csrf
Python web实战 | 细说 Django 的跨站点请求伪造(CSRF)保护
Saki_Python的博客
08-16 593
本文详细介绍了 Django 中的跨站点请求伪造(CSRF)保护机制。实际开发中,仅仅靠CSRF机制并不是绝对安全的,还应该结合其他安全措施,综合多种技术来确保应用程序的安全性。
PythonCSRF攻击是什么
weixin_46084533的博客
04-17 448
由于CSRF通常是由第三方站点发起的,因此可以要求所有敏感操作都必须通过带有自定义请求头的XMLHttpRequest发起,这样的请求不可能由第三方站点发起。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值