Django中csrf实现机制

最新推荐文章于 2022-07-07 16:57:37 发布
原创 最新推荐文章于 2022-07-07 16:57:37 发布 · 365 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#大数据

本文详细介绍了Django如何通过配置中间件和模板技巧防止跨站伪造请求攻击,包括启用CSRF令牌、验证过程和在实际开发中的应用。

csrf是跨站伪造请求攻击 是利用用户登录后保存在浏览器中的认证信息(cookie),进行一些恶意操作的过程

Django预防CSRF攻击的方法:

  1. 配置文件中开启CSRF中间件,然后在模板页面中加入{% csrf_token %}

  2. Django渲染该模板时,就会在页面中生成一个csrftoken口令,同时存入cookie一份

  3. 用户提交POST表单时,将页面中的csrftoken 和cookie中的csrftoken一起发给服务端,django验证两者是否相等,相等则认为是合法请求,否则报403

mache123456
关注
djangocsrf实现机制
sheji888的专栏
08-26 1199
DjangoCSRF 实现机制依赖于为每个用户会话生成唯一的 CSRF token,并通过多种方式(如 cookie、模板标签和请求头)将这个 token 传递给前端页面。当表单提交时,Django 会验证请求中的 CSRF token 是否有效,从而保护网站免受 CSRF 攻击。
Django 默认 CSRF 保护机制
u010674101的专栏
06-05 913
Django 的默认 CSRF 保护机制旨在防止跨站请求伪造攻击(CSRF)。CSRF 攻击是一种恶意攻击,其中攻击者通过伪造用户的请求来执行未授权的操作。
DjangoCSRF 保护机制
weixin_34348174的博客
12-02 303
django 有多久,我跟 csrf 这个概念打交道就有久了。 每次初始化一个项目时都能看到 django.middleware.csrf.CsrfViewMiddleware 这个中间件 每次在模板里写 form 时都知道要加一个 {% csrf_token %} tag 每次发 ajax POST 请求,都需要加一个 X_CSRFTOKEN 的 header 但是一直我都是...
djangocsrf实现机制
qq_41373975的博客
03-09 1488
1)启用中间件 2)post请求 3)验证码 4)表单中添加{% csrf_token%}标签 Django 原生支持一个简单易用的跨站请求伪造的防护。当提交一个启用CSRF 防护的POST 表单时,你必须使用上面例子中的csrf_token 模板标签。 #第一步:django第一次响应来自某个客户端的请求时,后端随机产生一个token值,把这个token保存在SESSION状态中;同时,后端把这...
Djangocsrf实现机制?
m0_56477185的博客
03-02 673
Django预防CSRF攻击的方法是在用户提交的表单中加入一个csrftoken的隐含值,这个值和服务器中保存的csrftoken的值相同,这样做的原理如下: 1、在用户访问django的可信站点时,django反馈给用户的表单中有一个隐含字段csrftoken,这个值是在服务器端随机生成的,每一次提交表单都会生成不同的值 2、当用户提交django的表单时,服务器校验这个表单的csrftoken是否和自己保存的一致,来判断用户的合法性 3、当用户被csrf攻击从其他站点发送精心编制的攻击请求时,由于
DjangoCSRF 机制
十年饮冰,难凉热血
11-18 418
在理解Django中的CSRF机制前,可以先补一补基础知识 官网对于CSRF的说明 pythenweb 开发中的csrf机制 CSRF全称 Cross-site request forgery (CSRF) 很简单的一个知识点,就是一个跨站请求伪造保护,看一下官网对于CSRF的说明和csrf机制两篇文章对CSRF机制有个初步理解。 实战 CSRF机制的载体Django自带的中间件 知识点部...
djangocsrf实现过程详解
09-18
Django是一个高级的Python Web框架,它鼓励快速开发和干净、实用的设计。DjangoCSRF(Cross Site Request Forgery,跨站请求...通过示例代码和装饰器的运用,开发者可以灵活地在项目中实现安全而合适的CSRF保护策略。
详解DjangoCSRF认证实现
09-20
Django框架内置了CSRF防护机制,通过使用CSRF中间件(CsrfViewMiddleware)来确保POST、PUT、DELETE等修改数据的请求是安全的。DjangoCSRF保护主要分为以下几个步骤: 1. **CSRF中间件**:在Django的设置文件中,...
基于Django和Vuejs构建的可视化自动化接口测试平台_包含Django表单CSRF防护机制实现_前端集成jQuerycookiejs处理POST请求的CSRF令牌_解决.zip
最新发布
07-20
Django中,这一机制通常通过生成一个令牌并在后续请求中验证这个令牌来实现。 前端方面,项目集成了jQuerycookiejs来处理POST请求中的CSRF令牌。具体来说,当浏览器接收到需要CSRF令牌的表单时,jQuerycookiejs...
django下的csrf防御机制
afftl7302的博客
06-21 177
CSRF 1、什么是CSRF?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 2、原理 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤 : 1.登录受信任网站A,并在本地生成Cookie 。 2.在...
DjangoCSRF原理及应用详解
热门推荐
AlexGeek
09-22 1万+
 Web开发中十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造(CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
django csrf工作原理
杨佳佳的博客
08-01 924
参考链接地址:https://yiyibooks.cn/xx/Django_1.11.6/ref/csrf.html 一个基于随机secret值的CSRF cookie,其它站点无法获取到。 此Cookie由CsrfViewMiddleware设置。 它和每个响应一起发送,如果请求上没有设置,则调用django.middleware.csrf.get_token()(这个函数用于内部获取...
CSRF攻击原理&Django的应用方法
u012556900的专栏
02-26 3697
CSRF攻击原理 Cross Site Request Forgery 跨站请求伪造 一句话总结:都是cookie惹的祸,所以先看看cookie cookie的作用流程 当输入一串网址登陆一个安全的站点如:www.XXX.com,并登陆到你的账号,服务器就会分配一个cookie给浏览器,里面包含了认证的信息,用户在这个站点打开其他的网页时将就不用再输入用户名和密码,浏览器会自动将这个c
简析django源码中对csrf的处理
nibuyaoshiwang的博客
01-13 265
csrf 跨站点请求伪造(Cross—Site Request Forgery),具体过程如下: 用户登录后访问某网站A,将cookies存在浏览器。 在未退出的情况下访问另一个网站B,这时候携带的信息就会全部发给B。 网站B拿着你的信息又去访问A,这样就造成了跨站请求伪造。 解决方案 检验http headers中的Referer,它的内容就是这次http请求的网站地址。对于服务端来说,在请求头部信息里我们可以过滤出有害请求地址的黑名单。 添加随机参数token,来每一次请求到来后,对比token值
Django安全认证机制CSRF
ssshey的博客
07-07 1127
Django安全认证机制CSRF
Django的crfs_token解决办法
weixin_30239339的博客
09-19 426
解除中间件csrf_token的保护机制的办法 原理:django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。当用post提交数据的时候,django会去检查是否有一个csrf的随机字符串,如果没有就会报错 全局:   中间件 dja...
django debug=false后静态文件丢失_django 入门第一课 配置文件
weixin_39905037的博客
11-24 174
祭奠我逝去的一天,献给和我一样刚刚入门的小白在我们千辛万苦创建了一个jango项目后,是时候开始配置文件了第一:镜像路径配置检查settings文件中templates,确认这里的镜像路径和项目中的镜像文件夹同名,这里一般系统默认设置,我们不用再做更改,但以防万一还是检查一下。第二 :静态路径配置这里需要先在项目根目录下建static静态文件包,在setting最低端配置系统静态路径STATICF...
Django 配置CSRF(跨站点请求伪造)保护
qq_39046786的博客
06-16 2973
Django 配置CSRF(跨站点请求伪造)保护 配置 在项目的setings.py文件中 添加如下。 MIDDLEWARE = [ 'django.middleware.csrf.CsrfViewMiddleware', ] 跨域请求伪造保护实现主要分为两步 第一步: DjangoCSRF 保护要求请求的Referer 标头与标头中存在的来源相匹配Host。例如,这可以防止针对 的POST请求subdomain.example.com成功api.example.com。如果您需要
Djangocsrf实现机制
04-24
<think>嗯,用户想了解Django框架中的CSRF实现机制和工作原理。我需要先回忆一下DjangoCSRF保护是怎么工作的。根据之前的引用,DjangoCSRF主要依赖Token验证,分为生成、传递和验证三个步骤。 首先,生成Token。用户登录时,服务器生成一个Token,结合了随机字符串和时间戳,用散列加密。这个Token会存在用户的cookie里,比如csrftoken。然后,在表单或AJAX请求中,需要将这个Token包含进去。表单的话,用{% csrf_token %}标签,这样会生成一个隐藏的input字段。对于AJAX,可能需要从cookie中读取Token,然后放在请求头里,比如X-CSRFToken。 接下来是验证部分。当用户提交请求时,Django中间件会检查请求中的Token是否有效。它会比较cookie里的csrftoken和请求体或头中的Token值,解密后验证是否匹配。如果匹配,请求合法;否则拒绝。 用户可能还关心为什么这样能防御CSRF攻击。因为攻击者无法获取到用户的Token,即使他们诱导用户点击恶意链接,也无法伪造正确的Token。不过要注意的是,DjangoCSRF中间件默认只对POST等修改数据的请求起作用,GET请求通常不检查。 另外,引用中提到的一些代码示例,比如使用@csrf_protect装饰器,或者在AJAX中设置headers,这些具体实现步骤需要解释清楚。可能用户还想知道如何在前端正确携带Token,特别是在AJAX请求中如何处理,比如使用jquery.cookie.js获取cookie中的值。 需要确保回答覆盖生成、传递、验证三个步骤,以及Django中间件的作用,可能还要提到一些配置和注意事项,比如确保cookie的HttpOnly和Secure设置,以增强安全性。同时,结合引用中的示例代码,说明实际应用中的写法,这样用户更容易理解。</think>### Django CSRF实现原理及工作机制分步解析 #### 一、核心防护原理 Django通过**CSRF Token双重验证机制**防御跨站请求伪造攻击,其核心原理为: 1. 攻击者无法获取用户浏览器中存储的Token(受同源策略限制) 2. 服务器验证请求中携带的Token与Cookie中的Token是否匹配 3. 基于加密算法的Token防篡改验证 #### 二、具体实现流程 **第一步:Token生成与存储** - 当用户首次访问含表单的页面时,Django自动生成加密的CSRF Token - 生成算法示例:`Token = 散列函数(随机数 + 时间戳 + 密钥)`[^4] - 通过两种方式传递Token: 1. 写入响应Cookie:`Set-Cookie: csrftoken=加密值` 2. 嵌入HTML表单:`<input type="hidden" name="csrfmiddlewaretoken" value="加密值">`[^1] **第二步:请求携带Token** ```python # 表单提交示例(自动处理) <form method="post"> {% csrf_token %} <input type="text" name="username"> </form> # AJAX请求示例(需手动处理) $.ajax({ type: "POST", headers: {"X-CSRFToken": $.cookie('csrftoken')}, # 从Cookie读取Token[^3][^5] data: { /* ... */ } }); ``` **第三步:服务器验证(CsrfViewMiddleware处理)** 1. 对安全方法(GET/HEAD/OPTIONS/TRACE)跳过验证 2. 从请求中提取Token: - 表单数据中的`csrfmiddlewaretoken` - 请求头中的`X-CSRFToken` 3. 解密验证Token有效性: - 对比请求中的Token与Cookie中的Token - 验证时间戳有效性(默认超时时间2小时) - 检查加密签名是否匹配[^2][^4] #### 三、关键安全机制 1. **同源策略加强**:验证HTTP Referer头(可通过设置`CSRF_TRUSTED_ORIGINS`配置白名单) 2. **动态刷新机制**: - 每次登录后生成新Token - 表单Token与Cookie Token独立生成但保持关联 3. **加密保障**: - 使用`django.middleware.csrf.get_token()`生成加密Token - 基于密钥(`settings.SECRET_KEY`)的签名验证[^4] #### 四、开发注意事项 1. 必须启用中间件: ```python MIDDLEWARE = [ # ... 'django.middleware.csrf.CsrfViewMiddleware', # ... ] ``` 2. 表单必须包含`{% csrf_token %}`模板标签 3. AJAX请求需手动处理: ```javascript // 使用js-cookie库示例 const csrftoken = Cookies.get('csrftoken'); fetch("/api/", { method: "POST", headers: {"X-CSRFToken": csrftoken} }); ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值