Django学习第四天:Django中csrf详解,攻击和防御办法

原创 于 2024-12-08 10:35:20 发布 · 1.6w 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#django #学习 #csrf

Django-299 专栏收录该内容
41 篇文章 ¥299.90 ¥399.90
订阅专栏

在这里插入图片描述

让我们一起走向未来

🎓作者简介:全栈领域优质创作者
🌐个人主页:百锦再@新空间代码工作室
📞工作室:新空间代码工作室(提供各种软件服务)
💌个人邮箱:[15045666310@163.com]
📱个人微信:15045666310
🌐网站:https://meihua150.cn/
💡座右铭:坚持自己的坚持,不要迷失自己!要快乐

在这里插入图片描述

目录

在Django中,CSRF(Cross-Site Request Forgery)即跨站请求伪造,是一种恶意攻击方式,攻击者利用受害者的身份发起伪造请求,目的是执行未经授权的操作。Django通过默认启用的中间件来防止这种攻击,下面将详细讲解CSRF攻击的原理、防御机制以及常见的防御方法。
在这里插入图片描述

一、CSRF攻击原理

CSRF攻击的核心在于欺骗受害者的浏览器发起请求。假设受害者已经登录了某个网站,并且该网站使用了基于Cookie的身份验证(如Django的sessionid)。如果受害者在不知情的情况下访问了攻击者构造的恶意网站,该恶意网站可能会伪造对目标网站的请求(例如,提交表单或更改账户信息),从而在受害者的身份下执行不当操作。

举个例子:
  1. 用户已经登录了A站,并且在浏览器中保存了有效的身份认证cookie(比如sessionid)。
  2. 用户在浏览器中访问恶意网站B,B站页面包含一个请求,指向A站的接口(如提交表单的URL),并且这个请求包含了A站的用户操作(例如,更新用户信息或转账操作)。
  3. 如果A站没有防护机制,B站的请求会带上用户的认证信息(如sessionid cookie),从而成功地伪造了一个合法的操作请求。<
了解本专栏 订阅专栏 解锁全文
Django学习第一天:模板路径详解、DTL
百锦再的博客
11-30 1万+
你还可以在Django中自定义模板标签过滤器,这需要在。
Django学习第四天:ModelForm
最新发布
百锦再的博客
12-06 1万+
你可以在ModelForm中添加自定义的字段验证逻辑。raise ValidationError("ISBN已经存在")有时你可能需要在ModelForm中添加额外的字段。is_published = forms.BooleanField(initial=True, required=False, label='是否已出版')ModelForm是Django中非常强大的工具,自动化了从模型生成表单的过程,并且支持很多定制化的功能。
csrf攻击的原理Django防范csrf攻击的方法
Krystal优快云的博客
11-10 565
csrf攻击的原理 CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作。比如说,受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/withdraw?account=bob&amount=1000000&for=bob2 可以使 Bob 把 1000000 ...
Django框架之CSRF使用篇
json_li的博客
07-12 1183
Csrf验证在项目中对于安全非常重要,通过上述的csrf设置与使用,对django框架又增加了一些了解,在使用上可以更加的灵活。
Django添加csrf保护机制
墨痕诉清风的博客
10-31 285
3. 在views.py函数中,确保请求的方法为POST时,Django会自动验证CSRF令牌。如果验证失败,将引发一个。启用CSRF保护后,Django将自动为每个请求生成验证CSRF令牌。确保在表单中包含CSRF令牌,并使用。,在使用CSRF保护时,确保在每个需要进行POST请求的表单中包含。生成一个隐藏的输入字段,其中包含CSRF令牌。通常,这个中间件默认就会包含在其中。装饰器来保护需要进行POST请求的视图函数。2. 在HTML模板中,确保在表单中包含。模板标签,否则请求将被拒绝。
DjangoCSRF原理及应用详解
热门推荐
AlexGeek
09-22 1万+
 Web开发中十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造(CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
django 同时提交表单file_Python学习第六十二天记录打call:Django 启用禁用CSRF功能...
weixin_39872872的博客
12-20 174
1.Django CSRF的原理CSRF(Cross Site Request Forgery)也就是跨站请求伪造,实现的原理是CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的;2.CSRF认证在项目的settings文件中有一个配置项MIDDLEWARE,表示默认Django启用csr...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
**四、CSRF攻击原理及防御措施** CSRF攻击依赖于用户已登录的状态浏览器自动发送的Cookie。攻击者可能会在用户不知情的情况下,构造携带用户Cookie的恶意请求。为了防止这种情况,DjangoCSRF中间件会在每个请求...
Django Forms安全最佳实践:防御XSSCSRF攻击的终极指南
[Django Forms安全最佳实践:防御XSSCSRF攻击的终极指南](https://www.djangotricks.com/media/tricks/2022/6d6CYpK2m5BU/trick.png?t=1698237833) # 1. Django Forms简介与安全威胁概述 ## Django Forms简介 ...
Django 配置CSRF(跨站点请求伪造)保护
qq_39046786的博客
06-16 2986
Django 配置CSRF(跨站点请求伪造)保护 配置 在项目的setings.py文件中 添加如下。 MIDDLEWARE = [ 'django.middleware.csrf.CsrfViewMiddleware', ] 跨域请求伪造保护实现主要分为两步 第一步: DjangoCSRF 保护要求请求的Referer 标头与标头中存在的来源相匹配Host。例如,这可以防止针对 的POST请求subdomain.example.com成功api.example.com。如果您需要
Day62:Django 启用禁用CSRF功能
ivenqin的博客
04-28 520
1.Django CSRF的原理 CSRF(Cross Site Request Forgery)也就是跨站请求伪造,实现的原理是CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的; 2.CSRF认证 在项目的settings文件中有一个配置项MIDDLEWARE,表示默认Django启...
django设置csrf_token
qq_43593912的博客
05-11 3772
一、关于csrf_token csrf:跨站请求伪造,防止其他人改造,盗取信息,反正就是一种网站的防护措施 服务器端:设置随机的csrf_token,get请求的时候就该设置好 客户端:携带上相应的csrf_token,post请求的时候携带上 二、form表单设置csrf_token 通过模板标签进行设置 当提交post请求的时候会自动带上 三、针对某个类视图设置csrf_token fr...
Django——CSRF防御
小白一直白
01-28 644
关于CSRF攻击原理在上一篇博客已经有过说明,这篇主要介绍下Django关于开启CSRFCSRF工作机理。关于开启防御有两种,一种是全局开启,另一种是局部开启。 全局: 中间件 django.middleware.csrf.CsrfViewMiddleware 局部:from django.views.decorators.csrf import csrf_exempt,csrf_prot...
django关于csrf防止跨站的ajax请求403处理
wjy397的专栏
10-12 3587
django配置文件通过中间件开启CSRF(Cross-site request forgery跨站请求伪造) 默认开启 参考官方文档django官方文档 正常请求 1.需要在views结尾传递context_instance=RequestContext(request) 2.然后在模板的form标签内添加{% csrf_token %} 异步请求 第一种
CSRF攻击原理&Django的应用方法
u012556900的专栏
02-26 3700
CSRF攻击原理 Cross Site Request Forgery 跨站请求伪造 一句话总结:都是cookie惹的祸,所以先看看cookie cookie的作用流程 当输入一串网址登陆一个安全的站点如:www.XXX.com,并登陆到你的账号,服务器就会分配一个cookie给浏览器,里面包含了认证的信息,用户在这个站点打开其他的网页时将就不用再输入用户名密码,浏览器会自动将这个c
Django csrf 两种方法设置form
u013023781的专栏
03-12 3890
第一种方法,在视图函数上边添加一条语句 @csrf_exempt 例子: @csrf_exempt def login(request): return render_to_response('app/login.html', locals()) 上边的方法是取消csrf防御机制。 第二种方法,给出例子,主要为在html的form里面加入{% csrf_token %}这句
django csrf解决办法
无形的专栏
06-14 2795
django csrf解决办法 原文出处:http://www.cppblog.com/momoxiao/archive/2011/10/03/157443.aspx?opt=admin  1 在 templete 中, 为每个 POST form 增加一个 {% csrf_token %} tag. 如下:        {% csrf_token %}    2 在
DjangoCSRF攻击原理及其防御方式
Shaun_X
03-18 1015
攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账购买商品)。
Django关于禁用csrf使用csrf操作
qq_32506555的博客
04-06 1622
本文大家分享的是django中关于禁用csrf使用csrf操作相关内容,一起来看看吧,希望对大家学习django有所帮助。  1. 基本使用  form表单中添加  {% csrf_token %}  2. 全站禁用  # 'django.middleware.csrf.CsrfViewMiddleware',  3. 局部禁用  'django.middleware.csrf.CsrfVie...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

百锦再@新空间

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值