脚本之家 服务器常用软件
快捷导航
您的位置:首页脚本专栏python → django csrf跨站请求伪造

解析django的csrf跨站请求伪造

 更新时间:2022年08月18日 08:18:32   作者:等日落  
本文主要介绍了解析django的csrf跨站请求伪造,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

1.什么是跨站请求伪造

请看图:

我们自行写了一个网站模仿中国银行,用户不知道是否是真的中国银行,并且提交了转账信息,生成一个form表单,向银行服务器发送转账请求,这个form表单和正规银行网站的form表单一模一样,只不过里面隐藏着改变了转账人的信息,改成了我们自己!!

然后,银行也不知道,因为拿到的表单是正规表单一模一样的,就给我们转了账!!

2.如何规避跨站请求伪造(csrf校验)

一般后端都会自带一个csrf校验,就是在给前端的form表单一个唯一的标识,form表单提交给后端,后端需要校验这个唯一标识,不符合就拒绝请求!!返回403(forbidden)

3.如何符合csrf校验

在我们自己写的正规网站,我们就需要在前端写一些标识,这个标识是告诉后端,这个请求是正确的,是我们正规的网站发出的,不是钓鱼网站!!

3.1 form表单如何符合校验

在需要提交的form表单里的任意位置加上{% form_token %},这时就符合了校验!

3.2 ajax如何符合校验

// 第一种 利用标签查找获取页面上的随机字符串
data:{"username":'jason','csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()}
// 第二种 利用模版语法提供的快捷书写
data:{"username":'jason','csrfmiddlewaretoken':'{{ csrf_token }}'}
// 第三种 通用方式直接拷贝js代码并应用到自己的html页面上即可
data:{"username":'jason'}

ajax通过csrf校验的js代码

function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');

function csrfSafeMethod(method) {
  // these HTTP methods do not require CSRF protection
  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

$.ajaxSetup({
  beforeSend: function (xhr, settings) {
    if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
      xhr.setRequestHeader("X-CSRFToken", csrftoken);
    }
  }
});

4.csrf相关的装饰器

当我们在django中注释掉csrf的中间件时,就表示网站所有的post请求都不进行校验;打开csrf中间件时,就表示对于所有的post请求都需要进行校验!

这是,我们思考两个问题:

1.网站整体都不校验csrf,就单单几个视图函数需要校验怎么办
2.网站整体都校验csrf,就单单几个视图函数不校验怎么办

这时,我们需要引入两个装饰器!

4.1 针对FBV的csrf装饰器

from django.views.decorators.csrf import csrf_protect,csrf_exempt
from django.utils.decorators import method_decorator

# @csrf_exempt   #在打开csrf时对局部视图函数不进行校验
# @csrf_protect  #在关闭csrf时对局部视图函数进行校验
def transfer(request):
    if request.method == 'POST':
        username = request.POST.get('username')
        target_user = request.POST.get('target_user')
        money = request.POST.get('money')
        print('%s给%s转了%s元'%(username,target_user,money))
    return render(request,'transfer.html')

4.2 针对CBV的csrf装饰器

from django.views import View

# @method_decorator(csrf_protect,name='post')  # 针对csrf_protect 第二种方式可以
# @method_decorator(csrf_exempt,name='post')  # 针对csrf_exempt 第二种方式不可以
@method_decorator(csrf_exempt,name='dispatch')
class MyCsrfToken(View):
    # @method_decorator(csrf_protect)  # 针对csrf_protect 第三种方式可以
    # @method_decorator(csrf_exempt)  # 针对csrf_exempt 第三种方式可以
    def dispatch(self, request, *args, **kwargs):
        return super(MyCsrfToken, self).dispatch(request,*args,**kwargs)

    def get(self,request):
        return HttpResponse('get')

    # @method_decorator(csrf_protect)  # 针对csrf_protect 第一种方式可以
    # @method_decorator(csrf_exempt)  # 针对csrf_exempt 第一种方式不可以
    def post(self,request):
        return HttpResponse('post')
		
csrf_protect  需要校验
    针对csrf_protect符合我们之前所学的CBV装饰器的三种玩法
csrf_exempt   忽视校验
    针对csrf_exempt只能给dispatch方法加才有效

到此这篇关于解析django的csrf跨站请求伪造的文章就介绍到这了,更多相关django csrf跨站请求伪造内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:

相关文章

  • django实现用户注册实例讲解

    django实现用户注册实例讲解

    在本篇文章里小编给大家整理的是关于django用户注册的相关实例内容,有兴趣的朋友们学习下。
    2019-10-10
  • python 阶乘累加和的实例

    python 阶乘累加和的实例

    今天小编就为大家分享一篇python 阶乘累加和的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2019-02-02
  • PyQt5中多线程模块QThread使用方法的实现

    PyQt5中多线程模块QThread使用方法的实现

    这篇文章主要介绍了PyQt5中多线程模块QThread使用方法的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2020-01-01
  • python之如何查找多层嵌套字典的值

    python之如何查找多层嵌套字典的值

    这篇文章主要介绍了python之如何查找多层嵌套字典的值问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2023-05-05
  • Pycharm创建python文件自动添加日期作者等信息(步骤详解)

    Pycharm创建python文件自动添加日期作者等信息(步骤详解)

    这篇文章主要介绍了Pycharm创建python文件自动添加日期作者等信息(步骤详解),本文分步骤给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2021-02-02
  • 详解Python使用OpenCV如何确定一个对象的方向

    详解Python使用OpenCV如何确定一个对象的方向

    在本教程中,我们将构建一个程序,该程序可以使用流行的计算机视觉库 OpenCV 确定对象的方向(即以度为单位的旋转角度),感兴趣的小伙伴可以了解一下
    2022-10-10
  • PyTorch CNN实战之MNIST手写数字识别示例

    PyTorch CNN实战之MNIST手写数字识别示例

    本篇文章主要介绍了PyTorch CNN实战之MNIST手写数字识别示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2018-05-05
  • python实现与Oracle数据库交互操作示例

    python实现与Oracle数据库交互操作示例

    这篇文章主要为大家介绍了python实现与Oracle数据库交互操作示例,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家,多多进步,早日升职加薪
    2021-10-10
  • 在Python上基于Markov链生成伪随机文本的教程

    在Python上基于Markov链生成伪随机文本的教程

    这篇文章主要介绍了在Python上基于Markov链生成伪随机文本的教程,是一个基于马尔可夫算法的小实现,充分体现了Python在科学计算中的用途,需要的朋友可以参考下
    2015-04-04
  • python使用Geany编辑器配置方法

    python使用Geany编辑器配置方法

    这篇文章主要介绍了python使用Geany编辑器配置方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2020-02-02

最新评论