django框架CSRF防护原理与用法分析
作者:笑-笑-生 时间:2022-02-16 09:37:11
本文实例讲述了django框架CSRF防护。分享给大家供大家参考,具体如下:
CSRF防护
一、什么是CSRF?
CSRF: Cross-site request forgery,跨站请求伪造
用户登录了正常的网站A, 然后再访问某恶意网站,该恶意网站上有一个指向网站A的链接,那么当用户点击该链接时,则恶意网站能成功向网站A发起一次请求,实际这个请求并不是用户想发的,而是伪造的,而网站A并不知道。
攻击者利用了你的身份,以你的名义发送恶意请求,比如:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账等。
如果想防止CSRF,首先是重要的信息传递都采用POST方式而不是GET方式,接下来就说POST请求的攻击方式以及在Django中的避免
二、CSRF攻击演示
步骤1:登录成功后进入发帖界面,进行发帖(使用post请求发帖,测试时先关闭csrf中间件)
步骤2:限制登录成功后才能发帖
可通过session保存登录成功的用户名
判断session中是否有保存用户名,有才允许发帖
步骤3:CSRF攻击演示
三、CSRF防护
重要信息如金额、积分等的获取,采用POST请求
开启CSRF中间件(默认就是开启的)
# 项目下的setting.py
MIDDLEWARE_CLASSES = (
...
# 开启csrf中间件(默认是开启的)
'django.middleware.csrf.CsrfViewMiddleware',
...
)
表单post提交数据时加上 {% csrf_token %} 标签
四、防御原理【了解】
服务器在渲染模板文件时,会在html页面中生成一个名字叫做 csrfmiddlewaretoken 的隐藏域。
服务器会让浏览器保存一个名字为 csrftoken 的cookie信息
post提交数据时,两个值都会发给服务器,服务器进行比对,如果一样,则csrf验证通过,否则提示403 Forbidden
希望本文所述对大家基于Django框架的Python程序设计有所帮助。
来源:https://blog.csdn.net/weixin_41790086/article/details/80847340
![](/images/zang.png)
![](/images/jiucuo.png)
猜你喜欢
解决Dreamweaver不支持中文文件名方法
防止别人iframe的js
apache集成php5.6方法分享
![](https://img.aspxhome.com/file/2023/7/55477_0s.png)
ASP连接MSSQL的错误: 拒绝访问
TensorFlow 实战之实现卷积神经网络的实例讲解
使用python进行文本预处理和提取特征的实例
关于 Python opencv 使用中的 ValueError: too many values to unpack
表单制作方式大比拼
![](https://img.aspxhome.com/file/uploadpic/20071/2007131102013522.gif)
aspjpeg组件安装问题
ajax xmlhttp getResponseHeader实例教程
细品Dreamweaver MX 内建FW技术
通过实例解析Python RPC实现原理及方法
![](https://img.aspxhome.com/file/2023/7/70177_0s.png)
18个超棒的Web和移动应用开发框架
浅析python的Lambda表达式
![](https://img.aspxhome.com/file/2023/4/71324_0s.png)
python多进程提取处理大量文本的关键词方法
![](https://img.aspxhome.com/file/2023/7/67837_0s.jpg)
使用ODBC接口访问MySQL
PHP组合模式Composite Pattern优点与实现过程
Python生成器以及应用实例解析
Python实现微信自动好友验证,自动回复,发送群聊链接方法
![](https://img.aspxhome.com/file/2023/7/63227_0s.jpg)