django 跨站请求伪造(csrf)

最新推荐文章于 2024-09-04 08:00:50 发布
最新推荐文章于 2024-09-04 08:00:50 发布
阅读量270 收藏
点赞数
分类专栏: python 文章标签: django csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lucky404/article/details/79430697
版权

django的跨站请求伪造的中间件是在配置文件settings.py里面配置的。
如下图的红色部分就是。

csrf

已经被我注释掉了(现在我将会把它启用)这个中间件的作用是,当被认为某个用户不是自己网站的用户给网站post数据的时候,就会被服务器端禁止掉。为了就是防止那些用户从来没有访问过网站的,直接给网站post数据。要想解决这个问题就是给是属于这个网站的用户加一个标识。不是网站用户的,就不加标识。通常说的给用户加标识也就是token(token的本质就是一个很长的无规律的字符串。),当用户来请求的时候,给用户一个token,下次用户再来请求数据的时候,就会自动带着token过来。这个token也是存在cookie里面的
如果没有分配token时候我们直接从页面登陆,post数据到后台,是会被禁止的。
如下图:
403

如何给用户分配token。
需要做两步操作,

第一:需要在html页面的form表单加上一句 {% csrf_token %}

token

第二步 在views里面的函数导入一下 RenderContext

from django.template.context import RenderContext
最后我们在render_to_sponse 加上
context_instance=RenderContext(request)
例如:
view

通过这样两步操作,当用户来请求的时候,通过在用户的cookie里面写上token,然后当用户下次再来请求的时候。用户就会带着cookie来访问,因此这样就可以识别用户了

csrf跨站请求伪造详解
m0_69962105的博客
11-24 1303
钓鱼网站搭建一个类似正规网站的页面用户点击网站链接,给某个用户打钱打钱的操作确确实实提交给了中国银行的系统,用户的钱也确实减少但是唯一不同的是,账户打钱的账户不是用户想要打钱的目标账户,变成了其他用户内部本质在钓鱼网站的页面针对对方账户,只给用户提供一个没有name属性的普通input框然后在内部隐藏一个已经写好带有name属性的input框如何避免上面的问题csrf跨域请求伪造校验网站在给用户返回一个具有提交数据功能的页面的时候会给这个页面加一个唯一标识。
swagger csrf 404_laravel运行的方式,处理csrf,路由配置
weixin_39999116的博客
10-22 1272
命令行:apache设置虚拟主机:或者通过LAMP的方式设置,项目目录是根目录/publicCSRF:laravel处理scrf:使用session,是针对每台机器的,互相隔离的。laravel的csrf的文件路径,web.php网站的路由入口,默认有csrf验证,网站需要防这个api.php的api接口入口,没有csrf验证,接口使用access_token之类的加密验证,因为接口没法给sess...
解决django前后端分离csrf验证的问题
12-31
第一种方式ensure_csrf_cookie 这种方方式使用ensure_csrf_cookie 装饰器实现,且前端页面由浏览器发送视图请求,在视图中使用render渲染模板,响应给前端,此时这个渲染模板的视图函数上要加上这个装饰器 这种方式保证了模板返回时,前端接收到的响应中有csrftoken这个cookie,方法见代码。 以上方法并没有严格意义的前后分离,如果模板中有form表单,可以直接在模板中添加{% csrf_token %}。 第二种方式 前后完全分离,前端页面直接通过获取静态文件得到,然后直接发送ajax请求,得到csrftoken,此时需要一个视图函数来返回token值
Django跨站请求伪造
月守护的博客
07-18 356
一、简介 django为用户实现防止跨站请求伪造的功能,通过中间件django.middleware.csrf.CsrfViewMiddleware 来完成。 1.客户端在非Django返回页面上发送post请求时,会被Django拦截,但非服务器报错 2.客户端在Django返回页面上发送post请求时,需要加上{% csrf_token %}放能发送成功 而对于django中设置防跨站请求伪造...
django 跨站请求伪造
盖乌斯的博客
05-02 479
def login(request): if request.method == 'POST': user = request.POST.get('username',None) pwd = request.POST.get('password',None) if user == 'alex' and pwd =='123': request.session['is_login...
Django框架之跨站请求伪造
weixin_30578677的博客
09-04 119
跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 例如: 如果用户登录网络银行去...
DjangoCSRF(跨站请求伪造)
weixin_30725467的博客
08-31 111
一丶什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是跨站请求伪造。那么什么是跨站请求伪造呢?让我一个词一个词的解释: 1、跨站:顾名思义,就是从一个网站到另一个网站。 2、请求:即HTTP请求。 3、伪造:在这里可以理解为仿造、伪装。 综合起来的意思就是:从一个网站A中发起一个到网站B的请求,而这个请求是经过了伪装的,伪装操作达到的目的...
Django CSRF跨站请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A...
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
Django中如何防范CSRF跨站请求伪造攻击的实现
09-19
CSRF(Cross-Site Request Forgery,跨站请求伪造),是一种常见的安全攻击手段。在这种攻击中,攻击者利用受害者的身份(通常是通过受害者已登录状态下的Cookies)发起恶意请求。这些请求对于服务器而言是合法的,...
django跨站请求伪造csrf)解决方法
syuuenn的博客
06-18 373
我们写一个简单的前端网页 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>修改密码</title> </head> <body> <form method="post" action...
Django框架全面讲解 -- 跨站请求伪造csrf
qq_34802511的博客
08-04 305
Django框架全面讲解 -- 跨站请求伪造csrfdjango为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。 全局: 中间件 django.middleware.csrf.CsrfViewMiddleware   局部: @...
Django | 安全防护】CSRF跨站请求和SQL注入攻击
计算机魔术师的blog
08-22 4095
一、演示CSRF漏洞 二、环境准备 三、模拟黑客🐱‍👤 四、解决办法 五、SQL注入攻击漏洞
spring security的logout功能出现404
MrLeeYongSheng的博客
12-24 5357
spring security的logout功能出现404
困扰我 1 小时的 404 错误 别人 1 分钟解决了
最新发布
emprere的博客
09-04 111
因公众号更改推送规则,请点“在看”并加“星标”第一时间获取精彩技术分享点击关注#互联网架构师公众号,领取架构师全套资料 都在这里0、2T架构师学习资料干货分上一篇:2T架构师学习资料干货分享大家好,我是互联网架构师!上周五遇到了一个 Bug,没有任何异常,困扰了我一个小时,差点连周末都过不好了。最后没办法,请教了组内的同学,没想到竟被他 1 分钟解决了!事情的起因,只是因为我把一个接口从@Get...
SpringSecurity退出登录报错,logout,404,CSRF防护
质量不太好的博客
03-15 2352
SpringSecurity退出登录报错,logout,404,CSRF防护
CSRF详解
@日月空@的博客
09-07 1255
原文链接 CSRF详解 一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二、CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 三、CSRF漏洞现状 CSRF
Django中的CSRF(跨站请求伪造)
05-21
Django中的CSRF是一种安全机制,可以防止跨站请求伪造攻击。在Django中,默认情况下,所有的POST、PUT、DELETE请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。 具体来说,Django在生成表单时会自动在表单中添加一个隐藏的input元素来存储CSRF令牌,例如: ```html <form method="post"> {% csrf_token %} <!-- 其他表单元素 --> </form> ``` 当用户提交表单时,Django会验证请求中的CSRF令牌是否与服务器端生成的令牌匹配。如果不匹配,则Django会抛出一个`CSRFTokenError`异常,阻止请求继续进行。 除了在表单中添加CSRF令牌外,还可以使用Django提供的`csrf_exempt`装饰器来排除某个视图函数或类的CSRF验证,例如: ```python from django.views.decorators.csrf import csrf_exempt from django.http import HttpResponse @csrf_exempt def my_view(request): # 不进行CSRF验证的代码 return HttpResponse('OK') ``` 需要注意的是,如果你关闭了CSRF验证,或者在某些情况下不使用CSRF令牌,那么你需要确保其他安全措施的存在,以保证你的应用程序不会受到跨站请求伪造攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值