关于前后端分离时,如何解决djaogo的CSRF问题

最新推荐文章于 2025-04-14 21:30:54 发布
最新推荐文章于 2025-04-14 21:30:54 发布
阅读量490 收藏
点赞数
分类专栏: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38534144/article/details/103223689
版权

先说一句,这里我还没有找到我觉得合理的解决方案,记录了一些概念性的东西,还有别人的一些解决方法,但是我总觉得有点问题,希望有路过的同学,如果看明白了我的疑惑,能帮我解惑一下

1.如果前后端都使用django来完成,那么这个CSRF防御应该是挺好解决的,可以在表单中加入{% csrf_token %}来完成。

<form action="add_book" method="post">
        {% csrf_token %}
        name: <input name="bookname">
        <button type="submit">提交</button>
    </form>

这样,当浏览器在渲染这个表单时,会随机生成一个隐藏的input,value为随机的字符串,同时将一个csrftoken 存到cookie中

<input type="hidden" name="csrfmiddlewaretoken" value="3LO2cifZp9TcZR1CHYDzmQL2DzMcrEAC7VWOUpiE3wF3Fu3aEwR6k9YiiBXE5RbS">

==================================

csrftoken: fAbDG5qO1xRaEQGPvbOnFmhYInTCBToljKjpocttFUD1ktInsJ2UDFuenp44f6ZB

提交表单时,django 会将这两个进行验证,从而完成防御。
在这里,csrftoken的生成和存储都是直接在django完成,外域无法获取cookie中的csrftoken,因此无法进行请求伪造。
2. 那么前后端分离时怎么办呢?比如vue + django(这是我的疑惑所在)
在vue中显然无法通过{% csrf_token %}来生成随机字符串和csrftoken。这是可以通过在表单提交时,将cookie 中的csrftoken作为请求头进行发送就可以了,而且不需要再携带随机字符串。

header:
X-CSRFToken: tCbZrFYaUFkF6tqRPIRMQr4Brh3g1VzW5qLXSJhoLrswjzjre2gF4OzYqtNFkpQo

如果cookie中还没有csrftoken,我们可以通过访问一个指定函数让django显式生成,并存储到cookie中。

from django.middleware.csrf import get_token
def get_token(request):
   if request.method == "GET":
		token = django.middleware.csrf.get_token(request)
		return HttpResponse("OK")

这样就可以从cookie中获取csrftoken,并将其放置在请求头中。
以上是我在百度上找到的前后端分离解决方法,绝大部分的解决思路都是一致的。但是这样怎么可以进行防御呢,下面写出我的一些疑惑:
首先我同样可以在另外一个网站通过js来发送一个Get请求,虽然有同源策略,但是还是有办法可以完成的。这样这个cookie就会保存在我当前网站下,那么我就可以去获取,并且设置在请求头中,然后进行请求伪造,我利用vue确实也实现了这个。那这样CSRF检测不就失效了吗? 那么原则上,可以使用这种方法来对所有使用django的网络来发动CSRF攻击,不知道我哪里理解出了问题,希望看到这篇博客的同学给我解惑一下!!!

前后端分离解决CSRF问题
ws_flying的博客
10-22 3528
个人记录,如有错误,敬请指出 项目环境:spring boot+shiro+jwt 简单方式直接通过nginx对Referer进行校验拦截即可,本文不做讲解 1、创建CsrfFilter import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.ht
关于前后端分离项目中CSRF等一系列问题的理解小结
MSB4011的博客
07-06 965
CSRF和CORS的问题上搞了这么久,一个是因为平工作忙,学这些东西陆陆续续的,另外也确实是因为这些个问题一环套一环,想要完全解决掉需要理解并处理很多问题,自己对于这个问题最终通过服务端允许跨域+前端保持相同ip的解决方式并不满意,后续将尝试使用Node.js代理的方式来解决问题
解决django前后端分离csrf验证的问题
09-19
今天小编就为大家分享一篇解决django前后端分离csrf验证的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
前后端分离使用 CSRF
Leon_Jinhai_Sun的博客
05-23 737
前后端分离开发,只需要将生成 csrf 放入到cookie 中,并在请求获取 cookie 中令牌信息进行提交即可。 修改 CSRF 存入 Cookie @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { htt
【玩转全栈】—— Django 连接 vue3 保姆级教程,前后端分离式项目2025年4月最新!!!
最新发布
2403_83182682的博客
04-14 1900
本文基于之前的一个旅游网站,实现 Django 连接 vue3,使 vue3 能携带 CSRF Token 发送 axios 请求给后端,后端再响应数据给前端。想要源码直接滑倒底部
【深入浅出 Spring Security(八)】前后端分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 4637
前后端分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
django前后端分离_CSRF解决方案
sola_酱的博客
06-21 1996
前言 现在都是采用前后端分离的方式,所以并不能采用传统的发送,直接在渲染页面的间加上csrftoken。 我也看好多网上写的方案,都乱,所以我总结一下: 首先有两张方法,都是直接关掉csrf的,一个是在setting.py里面关掉csrf中间件,另一种是在view视图里面加上装饰器,以达到我们的目的,都是我觉得这样的方式太激进了,不行我们就关掉?我不喜欢这样的方法,所以我在下面没有介绍,如果你们也想这样,可以去看看别人写的,有思路,找起来也不难。 不关闭csrf解决方案 思路 想办法在静态页面生成的
django的前后端分离csrf_token加入
weixin_44854778的博客
03-13 310
1 手动调用 csrf 中的 get_token(request) 或 rotate_token(request) 方法。 from django.middleware.csrf import get_token ,rotate_token def server(request): # 两者选一 get_token(request) # rotate_token(request) // 此方法每次设置新的cookies return render(req
django前后端分离csrf解决办法
qq_42402381的博客
08-30 3358
之前学习django,总是把那个csrf的中间件注释掉,现在把这个bug修复吧。 1.定义csrftoken接口,主要是为前端设置csrftoken,相关代码如下: from django.middleware.csrf import get_token def getToken(request): token=get_token(request) return Http...
Django 前后端分离项目中CSRF报403解决方法
m0_52168095的博客
11-20 397
允许跨域发送cookie,因为Django 验证csrf需要验证cookie,同这里Django后端也要配置允许跨域发送cookie。(我这里用的是TS脚本,所以多定义了一个CSRFBACK来控制解析方法的返回值。于是从研究Django验证机制的原理出发,终于找到解决方案。MIDDLEWARE 中'django.middleware.csrf.CsrfViewMiddleware'有了csrf token后,根据官方文档在post请求要将其放入请求头的。前后端分离项目主要前端首先要拿到csrf令牌,
前后端分离架构下CSRF防御机制
weixin_34097242的博客
09-19 357
原文: http://feclub.cn/post/content... 背景 1、什么是CSRF攻击? 这里不再介绍CSRF,已经了解CSRF原理的同学可以直接跳到:“3、前后端分离下有何不同?”。 不太了解的同学可以看这两篇对CSRF介绍比较详细的参考文章: CSRF 攻击的应对之道 浅谈CSRF攻击方式 如果来不及了解CSRF的...
前后端分离 使用spring security的csrf
qq_44989936的博客
09-01 1743
导读:读者可以先看一下CsrfFilter类,token作用于所有post,即使没有登陆 CsrfFilter 逻辑如下: ①熟悉基本类 CsrfToken 保存了token public interface CsrfToken extends Serializable { String getHeaderName(); String getParameterName(); String getToken(); } CsrfTokenRepository 就是一个csrfto
Django框架(二十四:前后端分离之分页的设置和csrf认证的解决
qq_41989320的博客
12-03 2486
前后端分离开发和混合开发的区别还是很大的。前后端分离我们需要遵循restful规范,先介绍什么是restful api规范 a.同一种数据的操作,只设置一个url路由。也就是根据请求方法来区分具体的处理逻辑。而不再设置多个增删改查的路由。 (1)可以基于FBV来通过请求方法的不同,处理不同的逻辑。 url(r'^order/', views.order), ...
django前后端分离csrf验证的解决方法
HYESC的博客
06-07 7984
django前后端分离csrf解决方法 第一种方式ensure_csrf_cookie 这种方方式使用ensure_csrf_cookie 装饰器实现,且前端页面由浏览器发送视图请求,在视图中使用render渲染模板,响应给前端,此这个渲染模板的视图函数上要加上这个装饰器 这种方式保证了模板返回,前端接收到的响应中有csrftoken这个cookie,方法见代码。 以上方法并没有严...
Django前后端分离CSRF的处理方法
MSB4011的博客
05-19 548
具体方式:通过调用middleware.csrf的get_token(request)函数设置csrftoken。
探讨前后端分离架构下CSRF防御
包磊磊的博客
06-12 4558
什么是CSRFCSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XS...
访问网址 token的格式_Django使用Pyjwt、restframework、restframeworkjwt 生成token
weixin_39639049的博客
11-20 307
Token在移动端开发或者前后端分离开发,我们会经常用到token(令牌)来验证并保留登录状态,通过向登录接口以post请求方式来发送登录表单获取token,将token保存到本地,并在请求需要身份认证的 url ,将token放到请求头中就可以直接访问,不用再登录。token生成的方法有很多种,我们这里不关注具体的生成算法,只是关注功能性实现。注意事项需要有一定的django基础,...
django前后端分离SCRF
01-09
### Django 前后端分离CSRF 处理 在现代Web开发中,前后端分离架构变得越来越普遍。对于基于Django框架的应用程序,在这种架构下保持CSRF防护的有效性和安全性至关重要。 #### 获取并设置CSRF Token 为了使前端能够安全地发起POST请求到Django服务器,必须先从服务器获取CSRF令牌,并将其作为自定义HTTP头的一部分发送给服务器[^1]。这可以通过创建专门用于返回CSRF令牌的API接口来完成: ```python from django.middleware.csrf import get_token from django.http import JsonResponse def get_csrf_token(request): token = get_token(request) return JsonResponse({'csrfToken': token}) ``` 此视图允许客户端通过访问特定URL(例如`/get_token/`)获得当前会话对应的CSRF令牌。 #### 客户端配置 一旦获得了CSRF令牌,就需要确保每次向受保护资源发出非GET类型的AJAX请求之前都将该令牌附加到请求头部。以下是使用JavaScript Fetch API的一个简单例子: ```javascript // JavaScript (Frontend) async function fetchWithCsrf(url, method='POST', body=null){ const response = await fetch('/api2/get_token'); let { csrfToken } = await response.json(); const headers = new Headers({ 'X-CSRFToken': csrfToken, 'Content-Type': 'application/json' }); const options = { method: method.toUpperCase(), credentials: 'include', headers: headers, ...(body && {'body': JSON.stringify(body)}) }; return fetch(url, options); } ``` 这段代码展示了如何构建一个通用函数`fetchWithCsrf()`,它接受目标URL和其他可选参数如HTTP动词和负载数据。重要的是要注意这里的`credentials: 'include'`选项,这是为了让浏览器随同跨域请求一起发送Cookie所必需的[^4]。 #### 后端路由配置 最后一步是更新Django应用中的URL模式以包含上述新添加的功能。假设已经有一个名为`app/views.py`文件,则可以在项目的根级urls.py中加入相应的路径映射[^2]: ```python urlpatterns = [ ... path('api2/get_token', getToken), ... ] ``` 这里假定`getToken`就是上面提到的那个用来分发CSRF令牌的方法名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值