21)django-csrf(跨站请求伪造)

一:目录

  1)简介及无CSRF时存在隐患

  2)csrf原理

  3)csrf 设置

  4)Form提交(CSRF)

  5)Ajax提交(CSRF)
    CSRF请求头 X-CSRFToken

二:csrf简介 

  csrf主要是为了防止跨站请求伪造(XSS攻击别人可以提交运行JS代码)

  django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。

  而对于django中设置防跨站请求伪造功能有分为全局和局部。

  全局:

    中间件 django.middleware.csrf.CsrfViewMiddleware

  局部:

    •   @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
    •   @csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

  注:from django.views.decorators.csrf import csrf_exempt,csrf_protect

二:csrf原理

      客户端发请求,如果是第一次过来,比如GET,我不仅把数据数据你,还给一串加密串,只我自己能反解。

   你下一次过来提交数据的时候,你要带这串来,这样我才允许,不然允许提交数据。

   这个一般体现在那里?如果你往后台发POST请求,你把CSRF禁掉话,会报403名错误了。

    django做了一层防护,GET不会有影响,POST的时候会在来你发过来的请求你找那个随机字符串。

    但是我们没有这个字符串。所以禁止。

    我们可以在页面form请求加一
        {{csrf_token}}生成随机串 这个就是CSRF的token.这样显示是没有用的。

  在form里{%csrf_token%}后台才能拿到token 这是django csft原理

 比如:别人的网站写JS代码,但是提交了我们的网站,如果没有开启csrf他就直接提交过来了,并运行了代码,这是很危险的。

  如果开吂CSRF。别人的网站没有随机token.他就不能提交代码到我们的网站。

三:csrf设置  

    settings:
     ‘django.middleware.csrf.CsrfViewMiddleware‘,

    form表单

    <form action="/login/" method="post">
        {% csrf_token %} <!--post提供token给后台-->
        <input type="text" name="username">
        <input type="text" name="password">
        <input type="checkbox" value="1" name="rmb">免登录10秒
        <input type="submit" name="+">
    </form>

  # {% csrf_token %}不仅在页面中生成,在cookie中也有生成.如图所示

  

  

四:form提交数据

  上面的提交需要csft_token传入到后台。我们有两种方式提交。第一种:普通submit,;第二种ajax提交。ajax也要带token,这能提交数据到后台

  普通submit提交,只需要在form里设置

 {% csrf_token %}

  提交POST后页面和cookie效果,会生成token:

   <form action="/login/" method="post">
        <input type=‘hidden‘ name=‘csrfmiddlewaretoken‘ value=‘GGO5hq95CfY3PrbGU2wep1WOpbMZOYNJ02QunbqKQOmeh1ShXNC1IIiTbut1Yij2‘ />
        <input type="text" name="username">
        <input type="text" name="password">
        <input type="checkbox" value="1" name="rmb">免登录10秒
        <input type="submit" name="+">
    </form>
</body>
</html>
  浏览器cookie
    Request Cookies                    212
    Hm_lpvt_407473d433e871de861cf818aa1405a1    1510386206    N/A    N/A    N/A    53
    Hm_lvt_407473d433e871de861cf818aa1405a1    1509847957,1509936833,1509966824,1510386206    N/A    N/A    N/A    85
    csrftoken    4MGKIn5K2p8K3hYkPKPagY0akHpjieqZo8I9O8mpgYwVvRFVSvVXzFmf606lsyWi    N/A    N/A    N/A    74
    Response Cookies                    139
    csrftoken    4MGKIn5K2p8K3hYkPKPagY0akHpjieqZo8I9O8mpgYwVvRFVSvVXzFmf606lsyWi        /    364.0?days    139

五:ajax提交  

AJAX只要把csrftoken拿过来,放在请求头发过去就行了django里token的KEY是什么:X-CSRFtoke
   from django.conf import settings

    print(settings.CSRF_HEADER_NAME)===>HTTP_X_CSRFTOKEN(jdango会在前面加HTTP_)==>X-CSRFtoken(请求头不能加下划线)

    按django规范来写就是X-CSRFtoken

  ajax提交两种方法:

  1)在ajax里提交headers:{"X-CSRFtoken":csrftoken},但是如果提交ajax非常多的时候就不方便,可以设置全局提交。

  

<script src="/static/jquery-1.12.4.js"></script>
    <script src="/static/jquery.cookie.js"></script>
    <script>
        $("#btn").click(
                function(){
                    //获取token
                    var csrftoken=$.cookie("csrftoken")

                    $.ajax({
                        url:"/login/",
                        type:"POST",
                        //token放在请求头
                        headers:{"X-CSRFtoken":csrftoken},
                        data:{"username":"root","password":123},
                        success:function(data){

                        }

                    })
        })
    </script>
  2)全文提交
    #方式2
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

    <form action="/login/" method="post">
        {% csrf_token %}
        <input type="text" name="username">
        <input type="text" name="password">
        <input type="checkbox" value="1" name="rmb">免登录10秒
        <input type="submit" name="+">
        <input id="btn" type="button" value="增加">
    </form>
    <script src="/static/jquery-1.12.4.js"></script>
    <script src="/static/jquery.cookie.js"></script>
    <script>
        $("#btn").click(
                function(){
                        //这就是发ajax请求
{#                    obj=XMLHttpRequest()#}
{#                    obj.open()#}
{#                    obj.send()#}
                    //可以对整个页面所有的ajax请求做配置
                    //方式2
                    $.ajaxSetup({
                        //表示在发送ajax请求之前执行,这是全局中配置,比如下面有好多个ajax  请求
                        beforeSend:function(xhr,settings){
                            //xhr表示XML HTTP requst对象,所有AJAZ操作
                            xhr.setRequestHeader("X-CSRFtoken",$.cookie("csrftoken"))
                        }
                    })
                     //获取token
{#                    var csrftoken=$.cookie("csrftoken")#}

                    $.ajax({
                        url:"/login/",
                        type:"POST",
                        //token放在请求头
                        //方式1
{#                        headers:{"X-CSRFtoken":$.cookie("csrftoken")#}
                        data:{"username":"root","password":123},
                        success:function(data){

                        }

                    })
        })
    </script>
</body>
</html>

  3)其他问题

  A)

    #现在是全局都加了token,如果有几个就不需要token验证,如何处理? 给不需要验证的请求加@csrf_exempt装饰器
    @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
    @csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。
    注:from django.views.decorators.csrf import csrf_exempt,csrf_protect

  B)GET是不需要提交token认证的,所以修改如下:

#上面POST和GET都是token验证,其实GET是不需要token的,如何处理?
    <!DOCTYPE html>
<html>
<head lang="en">
    <meta charset="UTF-8">
    <title></title>
</head>
<body>
    {% csrf_token %}

    <input type="button" onclick="Do();"  value="Do it"/>

    <script src="/static/plugin/jquery/jquery-1.8.0.js"></script>
    <script src="/static/plugin/jquery/jquery.cookie.js"></script>
    <script type="text/javascript">
        var csrftoken = $.cookie(‘csrftoken‘);

        function csrfSafeMethod(method) {
            // these HTTP methods do not require CSRF protection
            return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
        }
        $.ajaxSetup({
            beforeSend: function(xhr, settings) {
                if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
                    xhr.setRequestHeader("X-CSRFToken", csrftoken);
                }
            }
        });
        function Do(){

            $.ajax({
                url:"/app01/test/",
                data:{id:1},
                type:‘POST‘,
                success:function(data){
                    console.log(data);
                }
            });

        }
    </script>
</body>
</html>
				
时间: 2024-09-29 17:56:39

21)django-csrf(跨站请求伪造)的相关文章

自动化运维Python系列之Django CSRF跨站请求伪造、中间件

CSRF CSRF,跨站请求伪造是一种挟持用户在当前已登陆的web站点应用程序上执行非本意的操作攻击方法,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品). Django的CSRF中间件验证就可以有效地杜绝此类恶意攻击,原理就是Django在内部会对通过验证请求的客户端再做一次加密验证,该加密方式只有Django自己知道,客户端即使携带session反解密CSRF不成功也会拒绝访问:这是Django生

ajax向Django前后端提交请求和CSRF跨站请求伪造

1.ajax登录示例 urls.py from django.conf.urls import url from django.contrib import admin from app01 import views urlpatterns = [ url(r'^admin/', admin.site.urls), url(r'^login_ajax/$', views.login_ajax, name='login_ajax'), url(r'^index/$', views.index, n

Django框架(十六)-- 中间件、CSRF跨站请求伪造

一.什么是中间件 中间件是介于request与response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出 二.中间件的作用 如果你想修改请求,例如被传送到view中的HttpRequest对象. 或者你想修改view返回的HttpResponse对象,这些都可以通过中间件来实现. 可能你还想在view执行之前做一些操作,这种情况就可以用 middleware来实现. Django默认的中间件:(在django项目的settings模块中,有一个 MIDDLE

Django框架之中间件、CSRF跨站请求伪造

一.中间件 1.什么是中间件 中间件是一个用来处理Django的请求和响应的框架级别的钩子.它是一个轻量.低级别的插件系统,用于在全局范围内改变Django的输入和输出.每个中间件组件都负责做一些特定的功能. 中间件是帮助我们在视图函数执行之前和执行之后都可以做一些额外的操作,它本质上就是一个自定义类,类中定义了几个方法,Django框架会在请求的特定的时间去执行这些方法. 2.Django中的中间件 django默认有7个中间件 MIDDLEWARE = [ 'django.middlewar

Python Django 生命周期 中间键 csrf跨站请求伪造 auth认证模块 settings功能插拔式源码

一 django 生命周期 二 django中间键 1.什么是中间键 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子.它是一个轻量.低级别的插件系统,用于在全局范围内改变Django的输入和输出.每个中间件组件都负责做一些特定的功能. 简单来说就相当于django门户,保安:它本质上就是一个自定义类,类中定义了几个方法. 请求的时候需要先经过中间件才能到达django后端(urls,views,templates,models): 响应走的时候也需要经过中间件才能到达w

☆Django☆---中间件 csrf跨站请求伪造 auth模块 settings功能插拔式源码

Django中间件 django生命周期图 中间件: 概念: Django中间件就类似于 django的保安   请求 的时候需要先经过中间件才能到达django后端(urls, views)   响应 走的时候也需要经过中间件才能到达web服务网关接口 django默认的七个中间件 MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.Session

Django中间件、csrf跨站请求伪造以及基于Django中间件思想实现功能的插拔式配置

一.django中间件 1.1解释:django中间件是类似于是django的保安,请求的时候需要先经过中间件才能到达django后端(urls,views,templates,models),响应走的时候也需要经过中间件才能到达web服务网关接口 1.2django默认的七个中间件 MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.Session

五十二、django 中间件,csrf跨站请求伪造,auth模块表

django 中间件 django中间件事类似django的保安,请求的时候需要先经过中间件才能到达django后端(urls,views,templates,models), 响应走的时候也需要经过中间件才能到达web服务网关接口 django中间件中有五个用户可以自定义的方法 django中间件可以用来做什么? 1.网站全局的身份校验,访问频率限制,权限校验..只要涉及到全局的校验都可以在中间件中完成 2.django的中间件是所有web框架中,做的最好 需要掌握的方法有: 1.proces

Django框架 之 基于Ajax中csrf跨站请求伪造

ajax中csrf跨站请求伪造 方式一 1 2 3 $.ajaxSetup({     data: {csrfmiddlewaretoken: '{{ csrf_token }}' }, }); 方式二 1 2 3 4 5 <form> {% csrf_token %} </form><br><br><br>$.ajax({<br>...<br>data:{ "csrfmiddlewaretoken":

理解CSRF(跨站请求伪造)

理解CSRF(跨站请求伪造) 原文出处Understanding CSRF 对于Express团队的csrf模块和csurf模块的加密函数的用法我们经常有一些在意. 这些在意是莫须有的,因为他们不了解CSRF token是如何工作的. 下面快速过一遍! 读过后还有疑问?希望告诉我们错误?请开一个issue! 一个CSRF攻击是如何工作的? 在他们的钓鱼站点,攻击者可以通过创建一个AJAX按钮或者表单来针对你的网站创建一个请求: <form action="https://my.site.c