问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

Django中如何防止csrf

发布网友 发布时间:2024-09-27 15:53

我来回答

1个回答

热心网友 时间:2024-11-26 12:34

导读:本篇文章首席CTO笔记来给大家介绍有关Django中如何防止csrf的相关内容,希望对大家有所帮助,一起来看看吧。

本文目录一览:

1、csrf_token的了解2、哪些方法可以有效的防止csrf攻击3、当我用django的超级用户登录时候,出现CSRF的错误,如图,怎么解决啊??4、什么是CSRF攻击,如何预防5、如何防止CSRF注入式攻击6、怎么解决django的防csrf?csrf_token的了解

django中写form表单时csrf_token的作用:

Django下的CSRF预防机制

CSRF预防机制

CSRF的防御可以从服务端和客户端两方面着手,防御效果是从服务端着手效果比较好,现在一般的CSRF防御也都在服务端进行。

token防御的整体思路是:

第一步:后端随机产生一个token,把这个token保存在SESSION状态中;同时,后端把这个token交给前端页面;

第二步:下次前端需要发起请求(比如发帖)的时候把这个token加入到请求数据或者头信息中,一起传给后端;

第三步:后端校验前端请求带过来的token和SESSION里的token是否一致;

1、Django下的CSRF预防机制

django第一次响应来自某个客户端的请求时,会在服务器端随机生成一个token,把这个token放在cookie里。然后每次POST请求都会带上这个token,

这样就能避免被CSRF攻击。

在templete中,为每个POSTform增加一个{%csrf_token%}tag.如下:

在返回的HTTP响应的cookie里,django会为你添加一个csrftoken字段,其值为一个自动生成的token

在所有的POST表单模板中,加一个{%csrf_token%}标签,它的功能其实是给form增加一个隐藏的input标签,如下

,而这个csrf_token=cookie.csrftoken,在渲染模板时context中有context['csrf_token']=request.COOKIES['csrftoken']

在通过表单发送POST到服务器时,表单中包含了上面隐藏了crsrmiddlewaretoken这个input项,服务端收到后,django会验证这个请求的cookie里的csrftoken字段的值和提交的表单里的csrfmiddlewaretoken字段的值是否一样。如果一样,则表明这是一个合法的请求,否则,这个请求可能是来自于别人的csrf攻击,返回403Forbidden.

在通过ajax发送POST请求到服务器时,要求增加一个x-csrftokenheader,其值为cookie里的csrftoken的值,服务湍收到后,django会验证这个请求的cookie里的csrftoken字段与ajaxpost消息头中的x-csrftokenheader是否相同,如果相同,则表明是一个合法的请求

具体实现方法

django为用户实现防止跨站请求伪造的功能,通过中间件django.middleware.csrf.CsrfViewMiddleware来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。

全局:

中间件django.middleware.csrf.CsrfViewMiddleware

局部:

@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。

@csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

注:fromdjango.views.decorators.csrfimportcsrf_exempt,csrf_protect

1、原理

在客户端页面上添加csrftoken,服务器端进行验证,服务器端验证的工作通过'django.middleware.csrf.CsrfViewMiddleware'这个中间层来完成。在django当中防御csrf攻击的方式有两种:

1.在表单当中附加csrftoken

2.通过request请求中添加X-CSRFToken请求头。

注意:Django默认对所有的POST请求都进行csrftoken验证,若验证失败则403错误侍候。

Django设置cookie中的csrftoken

VUE向django发送post返回403:CSRFFailed:CSRFtokenmissingorincorrect解决方案:

哪些方法可以有效的防止csrf攻击

CSRF,全拼为Cross-siterequestforgery,也被称为one-clickattack或者sessionriding,中文名称叫跨站请求伪造。一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误认为是用户的真实操作而去执行命令。常用于盗用账号、转账、发送虚假消息等。

攻击者利用网站对请求的验证漏洞而实现这样的攻击行为,网站能够确认请求来源于用户的浏览器,却不能验证请求是否源于用户的真实意愿下的操作行为。

CSRF攻击防范手段有哪些?

第一、验证HTTPReferer字段

HTTP头中的Referer字段记录了该HTTP请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,而如果黑客要对其实施CSRF攻击,他一般只能在他自己的网站构造请求。因此,可以通过验证Referer值来防御CSRF攻击。

第二、使用验证码

关键操作页面加上验证码,后台收到请求后通过判断验证码可以防御CSRF。但这种方法对用户不太友好。

第三、在请求地址中添加token并验证

CSRF攻击之所以成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于cookie中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie来通过安全验证。要抵御CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于cookie中。可以在HTTP请求中以参数的形式加入一个随机产生的token,并在服务器端建立一个*来验证这个token,如果请求中没有token或者token内容不正确,则认为可能是CSRF攻击而拒绝该请求。这种方法要比检查Referer要安全,token可以在用户登陆后产生并放于session中,然后在每次请求时把token从session中拿出,与请求中的token进行比对,但这种方法的难点在于如何把token以参数的形式加入请求。

对于get请求,token将附在请求地址之后,这样URL就变成:。

对于post请求,要在form的最后加上inputtype="hidden"name="csrftoken"value="tokenvalue"/,这样就把token以参数的形式加入请求了。

第四、在HTTP头中自定义属性并验证

这种方法也是使用token并进行验证,和上一种方法不同的是,这里并不是把token以参数的形式置于HTTP请求中,而是把它放到HTTP头中自定义的属性里。通过XMLHttpRequest这个类,可以一次性给所有该类请求加上csrftoken这个HTTP头属性,并把token值放入其中。这样解决了上种方法在请求中加入token的不便;同时,通过XMLHttpRequest请求的地址不会被记录到浏览器的地址栏,也不用担心token会透过Referer泄露到其他网站中去。

当我用django的超级用户登录时候,出现CSRF的错误,如图,怎么解决啊??

需要在form后面加上csrf_token。如:

formmethod="post"{%csrf_token%}

xxx

/form

或者修改django源码:django/middleware/csrf.pyprocess_view

在“#Iftheuserdoesn'thaveaCSRFcookie”上面增加以下代码:

ifrequest.path.startswith('/admin'):

returnaccept()

如果django版本为1.2.5,则修改为:

ifrequest.path.startswith('/admin'):

returnself._accept(request)

这表示请求url是/admin的话,即使form后面没带csrf_token也可以访问。

什么是CSRF攻击,如何预防

CSRF攻击,全称为“Cross-siterequestforgery”,中文名为跨站请求伪造,也被称为“OneClick

Attack”或者“SessionRiding”,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

XSS主要是利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求,来利用受信任的网站。与XSS相比,CSRF更具危险性。

CSRF攻击的危害:

主要的危害来自于攻击者盗用用户身份,发送恶意请求。比如:模拟用户发送邮件,发消息,以及支付、转账等。

如何防御CSRF攻击:

1、重要数据交互采用POST进行接收,当然POST也不是万能的,伪造一个form表单即可破解。

2、使用验证码,只要是涉及到数据交互就先进行验证码验证,这个方法可以完全解决CSRF。

3、出于用户体验考虑,网站不能给所有的操作都加上验证码,因此验证码只能作为一种辅助手段,不能作为主要解决方案。

4、验证HTTPReferer字段,该字段记录了此次HTTP请求的来源地址,最常见的应用是图片防盗链。

5、为每个表单添加令牌token并验证。

如何防止CSRF注入式攻击

在Web应用程序侧防御CSRF漏洞,一般都是利用referer、token或者验证码,Nexus

的文章[7]已经写的很全面了;superhei也有提出bypass的思路[8],请参考他们的文章。

还有一个思路是在客户端防御,貌似可以做成一个类似HTTPWatch的软件,挂在浏览

器上拦截或者过滤跨域的cookie

怎么解决django的防csrf?

djangopost出现403的解决办法据说,从django1.x开始,加入了CSRF保护。\x0d\x0a\x0d\x0aCSRF(Cross-siterequestforgery跨站请求伪造,也被称成为“oneclickattack”或者sessionriding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。-------来自百度百科\x0d\x0a报错:Forbidden(403)\x0d\x0aCSRFverificationfailed.Requestaborted.Help\x0d\x0aReasongivenforfailure:CSRFtokenmissingorincorrect.\x0d\x0aIngeneral,thiscanoccurwhenthereisagenuineCrossSiteRequestForgery,orwhenDjango'sCSRFmechanismhasnotbeenusedcorrectly.ForPOSTforms,youneedtoensure:\x0d\x0a\x0d\x0aYourbrowserisacceptingcookies.\x0d\x0aTheviewfunctionusesRequestContextforthetemplate,insteadofContext.\x0d\x0aInthetemplate,thereisa{%csrf_token%}templatetaginsideeachPOSTformthattargetsaninternalURL.\x0d\x0aIfyouarenotusingCsrfViewMiddleware,thenyoumustusecsrf_protectonanyviewsthatusethecsrf_tokentemplatetag,aswellasthosethatacceptthePOSTdata.\x0d\x0aYou'reseeingthehelpsectionofthispagebecauseyouhaveDEBUG=TrueinyourDjangosettingsfile.ChangethattoFalse,andonlytheinitialerrormessagewillbedisplayed.\x0d\x0aYoucancustomizethispageusingtheCSRF_FAILURE_VIEWsetting.\x0d\x0a在网上找解决办法,说是提交参数中要有csrf_token,才能成功。但网上都是1.3或者1.4版本的解决办法,在1.5版本中测试已经不能用了。\x0d\x0a\x0d\x0a在1.5.1版本,我测试可行的解决办法有三种:\x0d\x0a一:\x0d\x0a关闭csrf保护功能。为视图函数添加@csrf_exempt修饰符。\x0d\x0a\x0d\x0afromdjango.views.decorators.csrfimportcsrf_exempt@csrf_exemptdefview(request):#yourcode.....当然这样不安全。\x0d\x0a\x0d\x0a二:在模版文件中,每个form提交域中都加上{%csrf_token%}标签,并使用render函数返回视图,或者强行使用RequestContext代替Context。例:fromdjango.shortcutsimportrenderdefcontact(request):form=ContactForm()#这里我使用了一个django的表格returnrender(request,'contact.html',{'form':form})\x0d\x0a或者:\x0d\x0afromdjango.shortcutsimportrender_to_responsedefcontact(request):form=ContactForm()#这里我使用了一个django的表格returnrender_to_response('contact.html',{'form':form},context_instance=RequestContext(request))\x0d\x0a\x0d\x0acontact.html的内容:\x0d\x0aul.errorlist{margin:0;padding:0;}.errorlistli{background-color:red;color:white;display:block;font-size:10px;margin:003px;padding:4px5px;}sendContactus{%csrf_token%}{{form.subject.errors}}工作:{{form.subject}}{{form.email.errors}}你的邮箱地址:{{form.email}}{{form.message.errors}}消息:{{form.message}}\x0d\x0a三:\x0d\x0a方法二显然只能*在django模版中使用,那如果我们使用javascript或者AJAX的时候呢?怎么添加csrf_token呢?\x0d\x0a\x0d\x0a我们可以使用javascript来提取cookies中的csrf_token。\x0d\x0a\x0d\x0afunctiongetCookie(name){varcookieValue=null;if(document.cookie&&document.cookie!=''){varcookies=document.cookie.split(';');for(vari=0;i

结语:以上就是首席CTO笔记为大家整理的关于Django中如何防止csrf的全部内容了,感谢您花时间阅读本站内容,希望对您有所帮助,更多关于Django中如何防止csrf的相关内容别忘了在本站进行查找喔。

声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
怎么鉴别匡威真假鉴别鉴别匡威真假的方法与技巧 洛阳小碗汤怎么做 酥肉丸子汤如何烹饪简单而又不失美味? 直通车产出比多少不亏?产出比低怎么调整? 淘宝直通车投产比多少才是盈利?怎么提升? 车打不着拧钥匙没反应 车打火的钥匙拧不动 微信关闭时后台还在图标上还有个小锁什么意思 坦克世界闪击战电脑需求配置玩坦克世界电脑配置要达到什么标准_百度... 坦克世界对电脑配置要求高不高玩坦克世界电脑需要什么配置要求 坦克世界对电脑的配置要求是多少坦克世界配置要求 区块链怎么预防攻击行为(区块链防止信息泄露) 女人喜欢比自己高的还是和自己一样高的人啊 一米7的男人喜欢娇小小鸟依人的女人还是和自己差不多高的的女人? 你们听过“找个和你一样的女孩”吗? 查征信带什么去银行 代查个人征信要什么证件 查征信都需要带什么 查询个人征信要带什么 查征信需要带什么东西 初中英语教法有哪些 在淘宝买衣服,卖家不给退怎么办? 中英语教学方法有哪些 在电影【异形】和【普罗米修斯】出现了两个标准是代表... 纯正的液化气里边有二甲醚吗 纪念碑谷可以退款吗 普罗米修斯后,异形,铁血战士,毛文宇宙第一恶兽之战 纪念碑谷有没有病毒? 纪念碑谷2付费破解版:游戏破解下载攻略 ]根据《普罗米修斯》和《异形》里面的描述,人是由外星远古人创造,并... 异形前传:普罗米修斯精彩对白 男人愿意找一个跟自己各方面很像的女人吗 有什么小点的PDF编辑器啊。或者应该叫阅读器?就是可以阅读PDF,还可以... 怎样查看自己腾讯账号 腾讯会员要在哪看账号和密码 为什么中信银行信用卡的额度下降了? 深圳园博园停车方便吗 自驾武汉停车攻略,武昌洪山旅游攻略 怎样看微信的注册时间? 手心脚心突然极痒无比是怎么回事?没有什么异常!没有水泡!就是很痒... 脚趾和脚面很痒很痒,无疙瘩和水泡,什么都没有,就是痒,怎么治疗?是脚气... 脚趾和脚底板长那种奇痒无比的水泡,还有脚趾头甲床奇痒,怎么治疗 最近一个月我的小脚趾头开始长些小水泡还有点发黄,奇痒无比,挤破后出... 秦岭终南山隧道在世界排第几 脚趾头很痒偶尔会有水泡过段时间就一层层的剥皮是怎么回事? 手指痒,指头起水泡,有时掉皮,痒的时候有一点点肿起来的感觉 天凉的时候... ...手指和手肘关节处,一直长包,开始是有点痒,看起来没什么异样,但是一... ...春季末和夏天的时候,手指头就出汗,发痒,发胀,有的时候还能看到透明的... 拉达尔公路隧道的修建方法 松江万达有哪些品牌 那些意境美到极致的古文,太惊艳了!