Django-中间件csrf-form完成csrf认证-ajax完成csrf认证

最新推荐文章于 2023-08-29 11:38:15 发布
原创 最新推荐文章于 2023-08-29 11:38:15 发布 · 668 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

一、中间件csrf

在这里插入图片描述
在这里插入图片描述

'''
# 可以对请求、响应...等功能完成过滤
# 自定义中间件
# 1. 在某一应用下(eg:app),建立某一py文件(eg: mymiddleware.py)
# 2. 在文件中自定义类,继承django.utils.deprecation下的MiddlewareMixin类
# 3. 实现要过滤的方法,完成具体的过滤条件
'''
from django.utils.deprecation import MiddlewareMixin
class MyMiddleware1(MiddlewareMixin):
    def process_request(self, request):
        ''' 请求处理
        :param request:请求对象
        :return: 一般没有返回值,但可以返回HttpResponse对象
        '''
    def process_view(self, request, callback, callback_args, callback_kwargs):
        ''' 视图函数预处理
        :param request: 请求对象
        :param callback: 路由返回的视图函数地址
        :param callback_args: 视图函数的位置参数(元组)
        :param callback_kwargs: 视图函数的关键字参数(字典)
        :return: 一般没有返回值,但可以返回HttpResponse对象
        '''
    def process_exception(self, request, exception):
        ''' 视图函数异常处理
        :param request: 请求对象
        :param exception: 视图函数的异常对象
        :return: 一般没有返回值,但可以返回HttpResponse对象
        '''

    def process_template_response(self, request, response):
        ''' 视图函数返回值为拥有render方法的对象,该方法会执行
        :param request: 请求对象
        :param response: 响应对象
        :return: 一定要返回response
        '''
        return response
    def process_response(self, request, response):
        ''' 响应处理
        :param request: 请求对象
        :param response: 响应对象
        :return: 一定要返回response
        '''
        return response
    
class MyMiddleware2(MiddlewareMixin):
    def process_request(self, request):
        pass
二、使用自定义中间件
# 在settings.py中配置自定义中间件
MIDDLEWARE = [
    ...
    'app.testmiddleware.MyMiddleware1',
    'app.testmiddleware.MyMiddleware2'
]
三、form完成csrf认证
<form action="" method="post">
    {% csrf_token %}
</form>
四、ajax完成csrf认证
<script src="/static/jquery-3.3.1.js"></script>
<script src="/static/jquery.cookie.js"></script>
<script>
    token = $.cookie('csrftoken');
    $.ajax({
        url: '/',
        type: 'post',
        headers:{'X-CSRFToken': token},
        data: {
            msg: '请求数据'
        },
        success: function (data) {
            console.log(data)
        }
    })
</script>
跨站请求伪造 CSRF 漏洞原理以及修复方法
it知识分享 free for nothing..
02-11 1554
跨站请求伪造 CSRF 漏洞原理以及修复方法
使用xadmin替换Django自带的admin后台
热门推荐
duke的博客
05-14 2万+
使用xadmin替换Django自带的admin后台 Django自带有admin后台,但是其风格并不漂亮、功能也不是让人很满意。因此一些大牛就重写了admin后台叫做xadmin,进来的各位应该是对django自带的admin不是很满意,可以参照我的教程来一次替换。 0 源码获取 项目github地址为https://github.com/sshwsfc/xadmin,其中的xadmi...
CSRF
时光偏执的博客
01-16 1万+
CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。 CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 防止 CSRF 攻击 步骤 在客户端向...
【五 form提交及校验】 2. 防御CSRF攻击
weixin_34405925的博客
12-12 634
为什么80%的码农都做不了架构师?>>> ...
CSRF(1)-----定义,原理和防护-----from表单提交数据
Z_Grant的博客
09-22 2626
文章目录一,定义和原理(1)与XSS不同之处(2)CSRF实现的基础前提(3)????CSRF的危害(4)CSRF的利用条件(5)????为什么会有CSRF二,cookie与CSRF(1)浏览器所持有的cookie分为两种:(2)区别(3)与CSRF的关系三,漏洞利用(1)通过GET请求方式发起(2)只能由GET请求发起? 一,定义和原理 CSRF(Cross Site Request Forgery, 跨...
Django csrf 两种方法设置form
u013023781的专栏
03-12 3874
第一种方法,在视图函数上边添加一条语句 @csrf_exempt 例子: @csrf_exempt def login(request): return render_to_response('app/login.html', locals()) 上边的方法是取消csrf的防御机制。 第二种方法,给出例子,主要为在html的form里面加入{% csrf_token %}这句
16. CSRF介绍和配置
细致-专业-实操
02-28 779
CSRF 攻击 CRSF: 跨站伪造请求攻击,某些恶意网站上包含连接、表单或者js,会利用登录过的用户在浏览器中认证信息视图在你的网站上完成某些操作。 CSRF 防范: django采用 对比安好机制防范攻击 cookies中存储暗号1,模板中表单藏着暗号2 ,用户只有在本网站下提交数据,暗号2才会随表单提交给服务器,django对比两个暗号,对比成功,认为合法请求,否则是违法请求返回403 ,x_16) CSRF 配置 方法一: settings注释 django.middleware.csrf.Csrf
django-react-csrftoken:一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单
02-03
一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单。 安装 npm install --save django-react-csrftoken 用法 import React from 'react' ; import DjangoCSRFToken from 'django-react-csrftoken' class...
django-csrf使用和禁用方式
12-20
Django的`settings.py`中,你可以通过注释掉`CsrfViewMiddleware`中间件来全局禁用CSRF保护: ```python MIDDLEWARE = [ # ... # # 'django.middleware.csrf.CsrfViewMiddleware', # ... ] ``` 但是,这通常不...
superagent-django-csrf:修补程序,将cookie中的`csrftoken`作为X-CSRFToken`标头添加到每个超级代理的请求中
05-02
superagent-django-csrf 补丁加csrftoken从饼干作为X-CSRFToken头球每个SuperAgent的要求。 用法 // Just require patch require ( 'superagent-django-csrf' ) ; 安装 npm install superagent-django-csrf 执照 ...
ember-django-csrf:将基于 DjangoCSRF 保护添加到您的 Ember 应用程序
05-31
CSRF 保护在每个带有X-CSRFToken标头的 AJAX 请求上默认启用。 您可以在config/environment.js指定 URL 模式以仅保护一部分请求。 var ENV = { ... django : { csrf : '^api' } } ; 执照 Ember Django CSRF ...
DjangoCSRF原理及应用详解
AlexGeek
09-22 1万+
 Web开发中十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造(CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
21 - form表单验证 和 csrf跨站请求伪造
最新发布
m0_58250910的博客
08-29 454
定义 form 表单数据。post请求必须定义。
五十一、csrf跨站请求伪造和auth认证模块
weixin_68531269的博客
09-13 497
csrf跨站请求伪造和auth认证模块一 csrf操作二 在form表单中设置csrfajax设置csrfcsrf相关装饰器五 auth认证模块5.1 auth模块常见功能5.2 auth_user表切换六 一 csrf操作 <h1>这是假的网页</h1> <form action="http://127.0.0.1:8000/bank/" method="post"> <p>用户名: <input type="text"
html5表单提交json数据库,CSRF漏洞中以form形式用POST方法提交json数据的POC
weixin_42522626的博客
06-04 715
目录0x01 写在前面今天遇到的,查了很多资料,发现这种形式的基本上没看到,圈子里某个师傅发了一个国外的链接,参考了一下,最后成功构造poc。0x02 POCform提交post数据很简单,如下:This i a CSRF test!但是这种方式存在缺陷,如下图:始终有个“=”摆脱不了,但是用下面这种方式成功摆脱:This i a CSRF test!这里的技巧主要在于name和value的值共同...
laravel的 csrf 防御机制详解,formcsrf_token() 的存在
Jesse
06-17 1万+
一、 什么是 CSRF ? CSRF是Cross Site Request Forgery的缩写,看起来和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF是伪造成合法用户发起请求。具体操作原理看google。。二、Laravel的CSRF防御过程 Laravel 会自动在用户 session (根据session_id 关联确认属于谁) 生成存放一个随机令牌(t
html表单 csrf,在HTML文件的表单中添加{%csrf_token%}便可以解决问题
weixin_35870524的博客
06-20 1094
原因是django为了在用户提交表单时防止跨站攻击所做的保护只需在HTML文件的表单中添加{%csrf_token%}便可以解决问题------------------------if判断{% if %}标签计算一个变量值,如果是“true”,即它存在、不为空并且不是false的boolean值,系统则会显示{% if %}和{% endif %}间的所有内容{% if num >= 100...
表单中csrf保护
欧阳小白闯天涯
07-16 4539
原文请移步:http://blog.maptoface.com/post/53
HTML form without CSRF protection,HTML表单没有CSRF保护
收集盒 Book box
07-18 6899
HTML form without CSRF protection =HTML表单没有CSRF保护  CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。这种攻击方式是国外的安全人员于2000年提出,国内直到06年初才被关注,早期我们使用过CSRF攻击实现了DVBBS后台的SQL注射,同时网上也出现过动易后台
Django CSRF保护新方案:django-session-csrf免Cookie实现
### Django Session CSRF概述 Django是一个开源的Python Web框架,它鼓励快速开发并遵循“约定优于配置”的原则。Django框架内置了许多功能,其中之一就是CSRF(Cross-Site Request Forgery,跨站请求伪造)保护...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值