django中csrf_token原理

最新推荐文章于 2025-04-22 17:37:27 发布
最新推荐文章于 2025-04-22 17:37:27 发布
阅读量2k 收藏 2
点赞数
分类专栏: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/janthinasnail/article/details/115683381
版权

为防止CSRF攻击,我们需要在html页面加入{% csrf_token %}这样的代码。

但是,当我们打开多个页面的时候,你会发现,每个页面的这个csrfmiddlewaretoken还不一样,如下代码所示:

//页面1的部分代码
<input type="hidden" name="csrfmiddlewaretoken" value="aPhlhBx4ellSgZbxDiBYwLqGd8pC3Pt0bkSD7wedsiKAuDIDwIYPh1XdklDmmGcI">

//页面2的部分代码
<input type="hidden" name="csrfmiddlewaretoken" value="RgE7JUyRySSAh28ONcirBD1slwrnz2fhSLfpzPf0MPhivGFUGCFimTyZsJF7STYZ">

如果你修改csrfmiddlewaretoken的值,验证失败。所以,简单了解一下django如何验证csrfmiddlewaretoken。

从settings.py文件的MIDDLEWARE的配置项中有csrf的配置。

如果用的是pycharm的话,按住ctrl+鼠标左键,直接跳转到框架源码文件。

其实关于csrfmiddlewaretoken的加解密主要就两个函数。

def _salt_cipher_secret(secret):
    """
    Given a secret (assumed to be a string of CSRF_ALLOWED_CHARS), generate a
    token by adding a salt and using it to encrypt the secret.
    """
    salt = _get_new_csrf_string()
    chars = CSRF_ALLOWED_CHARS
    pairs = zip((chars.index(x) for x in secret), (chars.index(x) for x in salt))
    cipher = ''.join(chars[(x + y) % len(chars)] for x, y in pairs)
    return salt + cipher


def _unsalt_cipher_token(token):
    """
    Given a token (assumed to be a string of CSRF_ALLOWED_CHARS, of length
    CSRF_TOKEN_LENGTH, and that its first half is a salt), use it to decrypt
    the second half to produce the original secret.
    """
    salt = token[:CSRF_SECRET_LENGTH]
    token = token[CSRF_SECRET_LENGTH:]
    chars = CSRF_ALLOWED_CHARS
    pairs = zip((chars.index(x) for x in token), (chars.index(x) for x in salt))
    secret = ''.join(chars[x - y] for x, y in pairs)  # Note negative values are ok
    return secret

下面写出简单的测试代码,来说明为什么每个页面的csrfmiddlewaretoken不一样,表单提交依然可以互不干扰验证通过。

其实csrfmiddlewaretoken字符串 = 随机salt字符串  拼接上  随机token字符串,其中,“随机token字符串”是根据“随机salt字符串”“密钥字符串”计算得出的

import django
import string


def get_secret(token):
    salt = token[:32]  # 前32位为加盐字符串
    token = token[32:]  # 后32位为token字符串
    chars = string.ascii_letters + string.digits  # 字符串为a-zA-Z0-9
    print('chars: ', chars)
    pairs = zip((chars.index(x) for x in token), (chars.index(x) for x in salt))
    secret = ''.join(chars[x - y] for x, y in pairs)
    print('secret: ', secret)  # 计算出密钥


if __name__ == '__main__':
    print('django version: ', django.VERSION)
    text = 'aPhlhBx4ellSgZbxDiBYwLqGd8pC3Pt0bkSD7wedsiKAuDIDwIYPh1XdklDmmGcI' # 表单中csrf_token的字符串,长度为64
    text2 = 'RstkB5GMKSzlbnJksqy2vOWobk00SEgASX4Cr0nVYPY3p1gqlQVTg4tVixeKbvZi' # cookie中csrf_token的字符串,长度为64
    get_secret(text)
    get_secret(text2)

最后,我们再回去看csrfmiddlewaretoken的加解密函数,就不难理解了。

参考:https://www.bootwiki.com/note/django-xss-csrf-token.html

Django 中的 CSRF Token
UysqOperands的博客
09-19 436
当用户访问包含表单的页面时,Django 会在表单中生成一个唯一的 CSRF 令牌,并将该令牌存储为 cookie。当用户提交表单时,Django 会验证表单中的令牌与存储在 cookie 中的令牌是否匹配,以确认请求的合法性。本文将详细介绍 Django 中的 CSRF 令牌,包括它的作用、如何生成和验证令牌,以及如何在表单中使用令牌。由于 AJAX 请求无法直接访问存储在 cookie 中的 CSRF 令牌,你需要将令牌作为请求的一个参数或头部进行传递。标签就可以生成令牌。在上面的示例中,我们将。
关于django中的csrf_token
weixin_43700349的博客
05-01 1207
什么是csrf_token csrf_tokendjango的一种安全机制,增加验证,是否是通过get请求先访问页面,然后再进行的提交,否则无法直接提交 当以form表单提交时,django会自动处理csrf_token 但是当使用ajax提交时,不会像form表单那样自动处理,必须手动获取 如何避免csrf_token报错 在from表单中加入{% csrf_token %} <form action='{% url 'LOGIN' %}' method="post"> ..
CSRF攻击预防的Token生成原理
热门推荐
陈万洲的专栏
12-30 1万+
以往我们讲到CSRF,谈及都是CSRF的攻击原理,这次讲一下预防CSRF,生成Token背后的加密原理和具体实现例示。 1.Token构成。 从需求功能上来讲,为了防止CSRF工具,token需要具有不重复,另外,还含有特定的功能信息,比如过期时间戳。 下面的图描述了一个token的数据构成: Token的数据结构。 ---------------------------
{% csrf_token %}使用无效解决方法
最新发布
weixin_56449709的博客
04-22 203
{% csrf_token %}使用无效解决方法
CSRF token原理
Challen_moon Book
06-16 323
简介 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。 全局: 中间件 django.middleware.csrf.CsrfViewMiddleware 局部: @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。 @csrf_exempt,取消当前函数防跨站请求伪造功能,即便setti
php中token作用原理,csrf_token简单原理实现
weixin_33498283的博客
03-11 1078
我们知道laravel里面有一个csrf_token,特别在有表单提交的时候,避免网络原因重复提交或者,非法手段curl模拟不断请求,都是有一定的帮助。别小看,好像也就这样但是却非常实用。按照我的理解,这种技巧很简单的做法就是用session就可以完成。CSRF(Cross-site request forgery)又叫跨站请求伪造,而要做到预防,原理可以用session产生一个token,因为:...
Djangocsrf token验证原理
weixin_45308149的博客
08-26 346
CSRF(Cross Site Request Forgery protection),中文简称跨站请求伪造。 django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 token,把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token, 这样就能避免被 CSRF 攻击。 这样子看起来似乎没毛病,但是评论中的第三个问题,每次刷新页面,form表...
django中间件生成csrf_token
fksfdh的博客
03-04 2511
class MiddlewareMixin: #django启动时就执行,与用户无关 def __init__(self, get_response=None): self.get_response = get_response super().__init__() def __call__(self, request): re...
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
Django:Ajax与csrf_token
HR_tigerking的博客
12-20 1041
起因:Ajax提示403错误 闲言碎语:据课程结束还有一周多,js杀我,要加油加油。 CSRF(Cross Site Request Forgery protection),中文简称跨站请求伪造。 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局...
html表单 csrf,在HTML文件的表单中添加{%csrf_token%}便可以解决问题
weixin_35870524的博客
06-20 1089
原因是django为了在用户提交表单时防止跨站攻击所做的保护只需在HTML文件的表单中添加{%csrf_token%}便可以解决问题------------------------if判断{% if %}标签计算一个变量值,如果是“true”,即它存在、不为空并且不是false的boolean值,系统则会显示{% if %}和{% endif %}间的所有内容{% if num >= 100...
CSRF token为什么可以保护表单提交?底层原理是什么?
长风破浪会有时的博客
05-07 1068
CSRF token 是一种用于防范 CSRF 攻击的机制,其底层原理是在表单提交或链接跳转等操作中添加一个随机的 token 字段,这个 token 字段由服务器生成并附加在表单中或者链接的 URL 参数中。当用户提交表单或者点击链接时,浏览器会将 token 字段一同发送到服务器端,服务器会校验 token 的合法性,只有当 token 与服务器预期的一致时,请求才会被处理。如果一致,则处理请求,否则拒绝请求。用户访问页面时,服务器会在后端生成一个随机的 token,并将 token 返回给前端页面。
Django之中间件与CSRF_TOKEN
Mchen的博客
11-23 1200
Django中间件类似于django的门户,所有的请求来和响应走走必须经过中间件中间件顾名思义,是介于request与response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出。因为改变的是全局,所以需要谨慎实用,用不好会影响到性能中间件它的执行位置在web服务网关接口之后,在路由匹配之前执行的Django给我们提供了创建自定义中间件的方式,通过创建自定义中间件来实现全局的功能,例如全局用户黑名单校验、全局用户访问频率校验、网站全局用户身份校验等等。
Djangocsrf-token验证原理
bocai_xiaodaidai的博客
09-19 2640
众所周知,django通过CsrfViewMiddleware中间件来下发和校验csrf-token有效性的。 那么,这个中间到底是怎么实现token校验的呢? 首先,django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 csrftoken,并把这个 csrftoken 放在 cookie 里。然后每次 POST 请求都会带上这个 csrftoken。(这个csrftoken的有效期非常长(52周)) 在前后端不分离的django项目中,可以通过{%csrf_token%}标签在表
CSRF原理
weixin_38881822的博客
07-02 568
a)攻击原理: i.用户C访问正常网站A时进行登录,浏览器保存A的cookie ii.用户C再访问攻击网站B,网站B上有某个隐藏的链接或者图片标签会自动请求网站A的URL地址,例如表单提交,传指定的参数 iii.而攻击网站B在访问网站A的时候,浏览器会自动带上网站A的cookie iv.所以网站A在接收到请求之后可判断当前用户是登录状态,所以根据用户的权限做具体的操作逻辑,造成伪造成功 ...
Token验证对CSRF的意义
JBlock的博客
10-28 4060
在前面我已经就DVWA作为实验环境对csrf攻击进行了测试,并且利用漏洞成功修改了密码。实现了了跨站请求伪造攻击。而攻击成功的原因就是因为验证机制不够严谨。今天我就当前最流行的也是最安全的验证机制做一下讨论。Csrf攻击的本质就是重要操作的所以参数都可以被攻击者猜测了解到。攻击者知道所以参数的意义就可以构造出合适的链接发起攻击。所以,有一种解决方案就是对参数进行加密,但这样对数据分析工作和数据收藏就
django的form表单及ajax提交的数据中添加认证的csrfmiddlewaretoken
旷古的寂寞的博客
09-28 6032
 1. 对于ajax提交数据,把下面的代码加入到js的头部,可以保证ajax执行时自动提交参数csrfmiddlewaretoken。 $.ajaxSetup({data: {csrfmiddlewaretoken: '{{ csrf_token }}' }}); 2. 对于form表单提交数据,在表单内部加入{% csrf_token %}标签,会自动生成一个input标签 &lt;f...
Django的cs rf token验证
qq_41048761的博客
03-12 522
CSRF(Cross Site Request Forgery protection),中文简称跨站请求伪造。django中对POST请求,csrf会进行认证处理,csrf认证机制是防御跨站伪造功能,在没有任何处理的前提下,POST请求会报错。 Django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 token,把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token,这样就能避免被 CSRF 攻击。 例子如下: login.html页面: 浏
71. Django 前后端分离csrf token获取方式
DevOps海洋的渔夫@专栏
11-11 3707
需求一般Django开发为了保障避免 csrf 的攻击,如果使用Django的模板渲染页面,那么则可以在请求中渲染设置一个csrftoken的cookie数据,但是如果需要前后端分离,...
django {% csrf_token %}
05-16
Django中的CSRF(Cross Site Request Forgery)是一种攻击方式,攻击者利用用户已登录的状态,伪造用户的请求,从而执行一些恶意操作。为了防止这种攻击,Django提供了CSRF保护机制。 在Django中,使用{% csrf_token %}标签可以生成一个随机的CSRF令牌。这个令牌会在提交表单时一起提交给服务器,服务器会验证这个令牌是否与用户登录信息匹配,如果不匹配,则认为这是一次恶意请求,服务器会拒绝执行该请求。 使用{% csrf_token %}标签很简单,只需要在表单中添加该标签即可: ``` <form method="post"> {% csrf_token %} <!-- 其他表单元素 --> <button type="submit">提交</button> </form> ``` 在提交表单时,Django会自动将CSRF令牌添加到表单数据中,并在服务器端验证令牌的有效性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值