03、关于Csrf验证和解决方法

最新推荐文章于 2023-11-13 20:31:45 发布
最新推荐文章于 2023-11-13 20:31:45 发布
阅读量436 收藏 2
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36646275/article/details/83967430
本文详细探讨了Django CSRF中间件的作用及如何在不同场景下正确使用,包括HTML表单集成、JavaScript POST请求处理等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

开发十年,就只剩下这套Java开发体系了 >>>   hot3.png

一、csrf是django的一个中间件,提供跨站请求保护功能.默认在setting中是已经有这个中间件了。

'django.middleware.csrf.CsrfViewMiddleware',

1、在HTML的form中一定要加上{% csrf_token %},在view中不需要坐任何操作.推荐使用render来渲染

<form id="login_form" method="post" action="{% url "login" %}">{% csrf_token %}
    <input type='text' value=''>
</form>

2、如果是JS中得POST请求,必须导入csrf_exemt和相应的装饰器来关闭验证,代码如下:

Java_script代码:

$(document).on("click",".InterFaceList_Link", function () {
    var pro_id = $(this).attr("name");
    $.post("/inter_face_list/",{"pro_id":pro_id}, function (data) {
        var right = $(".right");
        right.empty();
        right.append(data);
    })
})

Views.py代码:

# -.- coding:utf-8 -.-
import logging
from django.shortcuts import render
from django.http import HttpResponse,HttpResponseRedirect
from django.contrib.auth import login,logout,authenticate
from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def interface_list(request):
    if request.method == "POST":
        print request.POST
    if request.method == "GET":
        return render(request,"InterFaceList.html")
223916_bL9y_2663968.jpg
网页制作之CSRF安全验证
zuefeng的博客
08-31 1144
学习目标: 理解CSRF工作原理,能够建立完整CSRF流程。 学习内容: 1、CSRF原理 在用户进行post提交数据时,先要经过CSRF中间件进行安全验证验证通过后才通过路由找到对应的view视图函数进行操作。 2、 创建CSRF流程 - 解除settings文件中对CSRF中间件的注释 MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middlew
安全认证中的CSRF
梁老师教你编程序
10-26 2203
正常的访问时,客户端浏览器能够正确得到并传回这个伪随机数,而通过CSRF传来的欺骗性攻击中,攻击者无从事先得知这个伪随机数的值,服务端就会因为校验token的值为空或者错误,拒绝这个可疑请求。而,跨域转发,是没有这个过程的。这个图说明,在浏览器向服务端请求页面时,服务端将自己生成的token,返回给了浏览器,然后在发送post的时候,浏览器就带有了token。如果是,第三方网站跳转过去,就是直接操作的界面,就算是有了cookie,认证通过了,但是因为没有这个请求字段,所以操作是无法成功的。
CSRF验证
a274521712的博客
06-29 238
基本应用 Form 表中添加{% csrf_token %} 可以通过查询网页元素得到它的name值value值 全站禁用 # ‘django.middleware.csrf.Csrf……’,在settings中注释该行,表示不要进行csrf验证 局部禁用 ‘django.middleware.csrf.Csrf……’,在setting...
csrf验证
qq_45954781的博客
04-27 230
CSRF 漏洞验证
QYbkx974的博客
11-13 554
这次讲系统学习CSRF 漏洞方法二可以使用bp直接生成一个链接,比方法一要简快捷,温馨提示不要随便点击陌生链接。
关于django 1.10 CSRF验证失败的解决方法
01-01
不是取消了就是参数没有了,网上搜到的帖子也没说明用的是什么版本的django,所以经常出现搬运过来的代码解决不了问题的情况,不过基本上遇到的坑不多,最坑的就是在提交post表时弄了两天的CSRF验证失败问题,特此...
Django中ajax发送post请求 报403错误CSRF验证失败解决方案
12-31
今天学习Django框架,用ajax向后台发送post请求,直接报了403错误,说CSRF验证失败;先前用模板的话都是在里面加一个 {% csrf_token %} 就直接搞定了CSRF的问题了;很显然,用ajax发送post请求这样就白搭了; 文末...
解决django前后端分离csrf验证的问题
09-19
这两种方法都能确保在前后端分离的Django应用中正确地处理CSRF验证。第一种方式适合传统MVC模式,而第二种方式更适合API驱动的前端。无论哪种方式,关键在于确保前端能够获取使用Django的CSRF token,以防止跨站...
csrf验证机制
varyall的专栏
01-19 1125
CSRF(跨站请求伪造) CSRF 英文全称为 Cross SIte Request Forgery CSRF 通常指恶意攻击者盗用用户的名义,发送恶意请求,严重泄露个人信息危害财产的安全 CSRF攻击示意图 解决CSRF攻击 使用csrf_token校验 1.客户端浏览器向后端发送请求时,后端往往会在响应中的 cookie 设置 csrf_token 的值,可以使用请求钩子实现,...
Django —— csrf 验证问题
何惜戈
02-07 2733
关于 csrf 的基本了解 百度百科:CSRF(Cross-site request forgery)跨站请求伪造,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。通过伪装来自受信任用户的请求来利用受信任的网站。 简来说就是攻击者盗用你的身份,以你的名义来发送恶意请求。比如说用户通过账号密码访问了网站A,A网站将一些cookie信息保存在浏览器中实现用户状态行为跟踪。这时用户...
cacheable-csrf-token-rails:无需担心就可以缓存包含CSRF保护令牌HTML
05-18
Rails的可缓存CSRF令牌 无需担心就可以缓存包含CSRF保护令牌HTML CacheableCSRFToken使您可以轻松地缓存Ruby on Rails页面或包含CSRF保护令牌的部分。 在将响应发送给用户之前,将在HTML中插入特定于用户的令牌。 用法 将cacheable-csrf-token-rails到您的Gemfile 在ApplicationController中添加以下行: include CacheableCSRFTokenRails
crsf验证
weixin_45578684的博客
06-16 149
crsf
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
Yii2 关闭打开csrf 验证
Terry - 专注外贸B2C
08-16 5416
1.在Yii2配置中配置所有:所有的controller都将关闭csrf验证,如果设置成true,则将打开csrf验证。 'request' => [ 'enableCsrfValidation' => false, ],   2.在Yii2 controller中配置当前的controller添加变量,下面的设置将关闭csrf验证
csrf进行安全校验
化名三爷
07-18 816
请移步我的这篇博客: https://blog.csdn.net/zlxls/article/details/107432468 该文章主要使用Filter针对Xss攻击,sql注入,服务器访问白名,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善
CSRF检测的两种方法
Later_future的博客
05-17 1万+
CSRF检测的两种方法 方法1:CSRFTester-1.0 使用工具注意事项: run.bat中jdk的目录按当前电脑路径自行更改点击run.bat才可使用 关于浏览器进行代理问题须是HTTP的代理,在CSRFTester中才接收的到 功能略显不足,在部分测试页面中抓取的表不能修改参数 这里使用metinfo5.3.1成功进行了工具的使用研究 1.登录metinfo5.3.1的后台创建test用户并使CSRFTester进行监听 2.停止监听,找到对应的请求进行参数修改这里创建了一个fu
浏览器页面安全-CSRF【安全篇】
问白的博客
04-02 918
CSRF (Cross-site request forgery),又称为“跨站请求伪造”,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的已登录状态发起的跨站请求。简来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事。目标站点存在漏洞用户要登录过目标站点黑客需要通过第三方站点发起攻击根据这三个必要的条件,介绍了如何避免CSRF。利用Cookie中的 SameSite 属性利用请求头中的Origin来判断请求的来源CSRF Token的方式。
csrf解决方法
最新发布
06-04
以下是几种常见的解决CSRF问题的方法: #### 1. 设置SameSite属性 可以通过设置HTTP Cookie的`SameSite`属性为`Strict`或`Lax`来防御CSRF攻击。当`SameSite`属性设置为`Strict`时,浏览器不会将该Cookie附加到任何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值