简析django源码中对csrf的处理

最新推荐文章于 2023-11-24 21:33:16 发布
最新推荐文章于 2023-11-24 21:33:16 发布
阅读量231 收藏
点赞数
分类专栏: python 中间件 django 文章标签: django csrf 中间件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/nibuyaoshiwang/article/details/112460986
版权

csrf

跨站点请求伪造(Cross—Site Request Forgery),具体过程如下:

  • 用户登录后访问某网站A,未退出。
  • 被技术手段欺骗点击(比如被修改了的邮件链接),进行了个人隐私的操作(比如金钱的转账)。
  • 这种欺骗用户浏览器,让其以用户的名义间接控制用户账户的操作就是跨站点请求伪造。

这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。

解决方案

  • 检验http headers中的Referer,它的内容就是这次http请求的网站地址。对于服务端来说,在请求头部信息里我们可以过滤出有害请求地址的黑名单。
  • 添加随机参数token,来每一次请求到来后,对比token值来验证是否是来自本服务器的信任。

在我们在post请求的时候可能会有这样的错误:
在这里插入图片描述
这就是我们在setting中设置了Csrf中间件后,在请求中没有设置csrf token的问题,导致服务器开启了csrf验证环节吗,但是发现请求中并没有token,所以无法对比返回403错误。
在这里插入图片描述
首先可以注掉这个中间件不使用,django就会放弃对csrf的检验。但这样就算是放弃了django原生的csrf安全组件,后果可能会造成跨站伪造,当然如果是测试就注释掉。

另外,django给出了另一种解决办法,它提供了csrf_exempt这个装饰器,在不注释此中间件的情况下,在view外加上这个装饰器,可以在调用csrfmiddleware的process_view中跳过。源码如下:
在这里插入图片描述在这里插入图片描述
csrf_exempt装饰器会先给视图函数注册一个csrf_exempt为True的属性,当处理process_view时,会判断此值是否为True,是则跳过下面逻辑。

以上我们都在想着这么去掉这段功能,如果要正常使用它怎么办?
在这里插入图片描述
如果使用的是django自带的render页面模型,我们需要在template中加入csrf_token这个参数,这个参数会根据配置是否存入session。在post请求时,需要加上{“csrfmiddlewaretoken”: csrf_token},这样中间件就拿到前端上传的token和自己有的进行对比,在验证是否伪造请求。
在这里插入图片描述
最好要在视图函数前同样加上@csrf_protect这个装饰器,表示支持csrf中间件的检查。

如果是前后端分离,也可以借用csrf中间件的一套,只不过需要把生成token的逻辑单独维护一个api,把原来render的逻辑改到api上,后面我们每次post请求的时候,先拿到token,再添加到请求参数里面提交,之后验证的逻辑就和原逻辑一致了。

Django——CSRF权限认证处理
胖大xian
02-08 721
CSRF权限认证 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 一、简单说明csrf如何操作 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经
Djangocsrf中间件源码解析
sinat_30812239的博客
08-02 359
Djangocsrf中间件源码解析:'django.middleware.csrf.CsrfViewMiddleware', """ Cross Site Request Forgery Middleware. This module provides a middleware that implements protection against request forgeries from ...
Django CSRF处理
GrandG7的博客
11-28 328
1、setting中默认在MIDDLEWARE中设置了django.middleware.csrf.CsrfViewMiddleware,官方文档建议不要把它删了。 2、GET请求(安全的操作)不要做GET之外的操作(side effect free)。POST,PUT,DELETE方法(不安全的操作),按照以下方法来做。3、<form>表单后一律加上{% csrf_token %},这样在网页加
Django解决CSRF请求处理
zsrwan的博客
06-02 930
一、在提交的前端页面中写入js代码片段 // get cookie using jQuery function getCookie(name) { let cookieValue = null; if (document.cookie && document.cookie !== '') { let cookies = document.cook...
Django框架之csrf跨站请求
最新发布
m0_71292438的博客
11-24 1363
csrf校验是一种用于防止跨站请求伪造(Cross-Site Request Forgery)攻击的安全措施。
Django源码阅读:request响应与中间件调用
weixin_38744051的博客
03-02 350
文章主要目标: 在WSGI app接收到请求后,处理请求期间,Django中间件是如何生效的? 从Django的WSGI APP简析中,我们初步了解了基于WSGI的HTTP服务的大致过程,大体过程清楚了,那具体到Django框架内,请求又是如何处理的呢?本文主要解释Django框架对request的处理以及中间件的注册及生效过程。 1.WSGIHandler源码阅读 class WSGIHa...
Django框架之CSRF使用篇
json_li的博客
07-12 1107
Csrf验证在项目中对于安全非常重要,通过上述的csrf设置与使用,对django框架又增加了一些了解,在使用上可以更加的灵活。
djangocsrf
Qdynasty的博客
12-21 256
djangocsrf相当于中间件CSRF的作用则是对请求进行一次验证,目的是为用户实现防止跨站请求伪造的功能。对于django中设置防跨站请求伪造功能有分为全局和局部。 相对应的对于form表单以POST提交方式而言,需要携带csrf随机字符串才能拿通过,在html界面中需要添加这样。 &lt;form action="/add/" method="post"&gt; {% csr...
Django框架的CSRF跨站请求伪造个人理解
m0_46917798的博客
11-24 126
文章目录前言一、CSRF跨站请求伪造是什么?二、如何解决CSRF跨站请求伪造?三、重点注意 前言 分享Python学习过程中个人知识点的理解。 一、CSRF跨站请求伪造是什么? 含义:攻击者盗用了你的身份,以你的名义发送恶意请求。 理解:正常网站发送POST请求时会把网站自身相关cookie数据一并发送,攻击者正是通过获取该网站的cookie数据,伪造用户身份发送恶意请求。 图例: 二、如何解决CSRF跨站请求伪造?        &
django ajax csrf处理办法
追梦小狂魔的博客
12-09 555
在最开头加上一句代码 $.ajaxSetup({ data: {csrfmiddlewaretoken: '{{ csrf_token }}' }, });
Django项目--csrf攻击
fanxindong0620的博客
10-30 190
1.案例流程图: 2.django防止csrf的方式: 1 ) Django中默认打开csrf中间件。settings.py文件中: MIDDLEWARE_CLASSES = ( 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', ...
DjangoCSRF原理及应用详解
热门推荐
AlexGeek
09-22 1万+
 Web开发中十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造(CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
django中的csrf / View/ APIView
小小臭臭的博客
11-13 411
今天在项目中遇到一个问题: 接口继承View时, 出现CSRF, 403 接口继承APIView时, 未出现CSRF异常, 究其原因, 发现是APIView中过滤了,CSRF验证 如果不使用APIView, 怎么解决 https://www.cnblogs.com/rgcLOVEyaya/p/RGC_LOVE_YAYA_692days_802_1.html ...
python中django框架的csrf验证
weixin_34289454的博客
05-28 141
在form表单以post的方式提交时,django默认会带一个验证的机制csrf验证 <form action="/day02/login/" method="post"> {% csrf_token %} 用户名: <input type="text" name="user"> 密码 <input type="text" name...
django中的CSRF相关问题
weixin_44339867的博客
09-20 316
CSRF简介: CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 在django中默认就已经开启了针对CSRF处理,在settings.py中的 ‘django.middleware.csrf.CsrfViewMiddleware’...
DjangoCSRF 保护机制
weixin_34348174的博客
12-02 266
django 有多久,我跟 csrf 这个概念打交道就有久了。 每次初始化一个项目时都能看到 django.middleware.csrf.CsrfViewMiddleware 这个中间件 每次在模板里写 form 时都知道要加一个 {% csrf_token %} tag 每次发 ajax POST 请求,都需要加一个 X_CSRFTOKEN 的 header 但是一直我都是...
Djangocsrf实现机制
mache123456的博客
06-23 329
Djangocsrf实现机制
Django前后端分离时CSRF处理方法
MSB4011的博客
05-19 554
具体方式:通过调用middleware.csrf的get_token(request)函数设置csrftoken。
Django CSRF_TOKEN跨域攻击处理
Rick的专栏
03-25 955
1.setting 文件中MIDDLEWARE_CLASSES中加入django.middleware.csrf.CsrfViewMiddlewar2.view(建议所有视图中都加上RequestContext):def faq(request): c = RequestContext(request) ... ... return render_to_respons
Django中实施CSRF防御策略详解
Django框架中,跨站请求伪造(CSRF,CrossSiteRequestForgery)是一种常见的Web安全威胁,攻击者可能利用用户的已登录状态进行恶意操作,例如窃取敏感信息或执行未经授权的交易。为了保护您的应用免受此类攻击,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值