Django中CSRF攻击原理及其防御方式

最新推荐文章于 2024-04-28 07:45:00 发布
原创 最新推荐文章于 2024-04-28 07:45:00 发布 · 995 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #Django #CSRF

本文介绍了CSRF攻击原理,即针对POST请求,用户登录正常网站后,若访问恶意网站并点击特定按钮,数据可能被修改。同时阐述了Django防御CSRF的方式,默认启动防护,可在settings.py中关闭,表单提交需加{% csrf_token %}标签,还说明了其防御原理是通过比较隐藏域和cookie信息进行验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CSRF攻击原理(只正对POST请求方式):

  1. 登入正常网站之后,你的浏览器会保存sessionid,如果你没有退出
  2. 你不小心访问了另一个恶意网站,这个网站是模拟正常网站中修改密码的网站,且隐藏那些修改信息,可能只显示一张图片或者是一个按钮,你不小心点击这个按钮,那个这个按钮的action就是去访问正常网站的修改用户的界面的url并附带有修改密码的post表单,那么你的数据就会被修改。
     

Django防御csrf的方式:

  1. Django默认启动了csrf防护,在settins.py文件中MIDDLEWARE_CLASSES中的"django.middleware.csrf.CsrfViewMiddleware", 如果注释这行,表示关闭防御CSRF攻击,注意点: CSRF攻击只针正对post提交
    在这里插入图片描述
  2. 表单提交数据时加上{% csrf_token %}标签

 
Django防御原理:

  1. 开启Django中CSRF防御,且在表单中添加{% csrf_token %}, 那么在渲染模板文件时在页面生成一个名字叫做csrfmiddlewaretoken的隐藏域。
    在这里插入图片描述在这里插入图片描述
  2. 服务器交给浏览器保存一个名字为csrftoken的cookie信息
    在这里插入图片描述
  3. 提交表单时,俩个值都会发给服务器,服务器进行比较,如果一样,则csrf验证通过,否则失败
Django学习第四天:Djangocsrf详解,攻击防御办法
百锦再的博客
12-08 1万+
DjangoCSRF防护机制非常强大,默认启用了中间件,并要求表单中包含CSRF Token,从而防止了大多数跨站请求伪造攻击。对所有敏感操作使用模板标签。对于AJAX请求,确保在请求头中携带。对于不需要CSRF保护的视图,可以使用装饰器。使用SameSite属性来限制cookie的跨站发送。可以结合双因素认证来进一步提高安全性。通过这些防御机制Django可以有效抵御CSRF攻击,提高应用的安全性。
Django 4.x CSRF 站点保护示例和使用配置方法
热门推荐
Mr数据杨
11-04 3万+
在现代Web开发中,安全性是不可忽视的重点之一。跨站请求伪造(CSRF)是一种常见的攻击手段,可能会给Web应用带来严重的安全风险。为了应对这种攻击Django提供了一套完整的CSRF防护机制,帮助开发者在构建Web应用时,确保请求的合法性和安全性。
Django_CSRF_原理分析
Golang & Python 我的最爱
09-19 2143
关于CSRFCSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。
csrf攻击原理Django防范csrf攻击的方法
Krystal优快云的博客
11-10 479
csrf攻击原理 CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作。比如说,受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/withdraw?account=bob&amount=1000000&for=bob2 可以使 Bob 把 1000000 ...
CSRF攻击防御,web安全的第一防线
python小霸王
01-30 916
CSRF攻击防御,web安全的第一防线 目录: 一、CSRF介绍 二、CSRF攻击的危害 三、CSRF攻击原理及过程 四、CSRF漏洞检测 五、CSRF漏洞预防 六、最后聊聊xss 一、CSRF介绍 CSRF(Cross-site request forgery) 跨站请求伪造,也被称为“OneClick Attack”或者Session Riding,通
Python DjangoCSRF攻击CSRF防御
houyanhua1的专栏
12-14 467
  项目名/settings.py(项目配置,csrf中间件配置): MIDDLEWARE_CLASSES = ( 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.Cs...
DjangoCSRF原理
theskylife的博客
12-08 381
1.CSRF介绍 csrf,跨站请求伪造,也被称为"One Click Attack"或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 为了防止这种现象,需要在Ajax提交时,为form表单添加一个随机字符串,以避免被恶意篡改。Django中为了实现这一功能,可以通过在settings文件中,使用以下中间件: django.middleware...
Python Django框架防御CSRF攻击的方法分析
09-18
首先,我们需要了解Django防御CSRF攻击的基本原理: 1. **生成CSRF令牌**:当Django渲染HTML模板时,它会在每个需要防护的POST表单中添加一个名为`<input type="hidden" name="csrfmiddlewaretoken" value="..." />...
django框架CSRF防护原理与用法分析
09-19
为了有效防御CSRF攻击Django提供了内置的CSRF中间件和一些实用的功能。 - **重要信息的保护**:对于敏感操作(如修改密码、转账等),应该使用POST请求而非GET请求。 - **开启CSRF中间件**:确保在项目的`...
DjangoCSRF攻击原理详解
景天科技苑
01-18 1317
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息
Django CSRF
光明小学王小雨的博客
12-16 2027
一、CSRF攻击攻击原理及过程 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式 1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B...
Django中预防CSRF攻击
但行好事,莫问前程
10-26 2306
CSRF攻击者盗用了你的身份,以你的名义发送恶意请求。
Django CSRF攻击
ball4022的博客
08-19 211
CSRF攻击攻击原理及过程如下: 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 4. 网站B接收到用户请求后,返回一些攻击性代码,并发出...
DjangoCSRF原理及应用详解
AlexGeek
09-22 1万+
 Web开发中十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造(CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
Django项目--csrf攻击
fanxindong0620的博客
10-30 199
1.案例流程图: 2.django防止csrf方式: 1 ) Django默认打开csrf中间件。settings.py文件中: MIDDLEWARE_CLASSES = ( 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', ...
djangocsrf的实现机制
qq_41373975的博客
03-09 1474
1)启用中间件 2)post请求 3)验证码 4)表单中添加{% csrf_token%}标签 Django 原生支持一个简单易用的跨站请求伪造的防护。当提交一个启用CSRF 防护的POST 表单时,你必须使用上面例子中的csrf_token 模板标签。 #第一步:django第一次响应来自某个客户端的请求时,后端随机产生一个token值,把这个token保存在SESSION状态中;同时,后端把这...
Django中的CSRF保护机制:原理及如何使用?
最新发布
04-28 1159
DjangoCSRF保护机制的原理是,当用户访问一个包含表单的页面时,Django会生成一个随机的CSRF令牌并将其存储在用户会话中。当用户提交表单时,Django会验证表单中的令牌是否与用户会话中存储的令牌匹配。CSRF攻击是通过在用户浏览器上发送一个伪造的请求来实现的,请求中包含了用户在其他网站上的身份验证信息。这样,在提交表单时,Django会验证请求中的CSRF令牌是否与用户会话中的令牌匹配。另外,如果使用 AJAX 来提交表单,可以将令牌作为请求的一个参数来传递,或者将其添加到请求头中。
CSRF防御方案
hdwlwang的博客
04-24 5206
我们也可以用自定义HTTP头的方法来防御CSRF攻击,因为虽然浏览器会阻止向外站发送自定义的HTTP头,但是允许向本站通过XMLHttpRequest的方式发送自定义HTTP头。比如,prototype.js这个JavaScript库就是使用这种方法,并且增加了 X-Requested-By头到XMLHttpRequest里面。
Django-admin、基本数据类型、csrf攻击
weixin_30840573的博客
07-17 222
django数据类型与mysql数据类型比较 参数 max_length=32 null=True : 可以设置为null db_index=True : 设置索引 default : 设置默认值 unique : 设置唯一索引 db_column: 设置一个列名 uniqu...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值