Django防御csrf攻击的实现方式(包括ajax请求)
csrf攻击简要说明
用户A现在登录了某银行网站的官网,浏览器记录了该网站生成的记录用户信息的cookie,而后用户A点击了钓鱼网站(该网站和银行网站长的一样),该钓鱼网站内有js代码向银行官网发起转账请求,此时该请求会自动携带记录用户信息的cookie值去访问银行官网进行转账操作,银行网站的后端若没有设置csrf防御机制,仅仅验证用户是否登录,就会认为该转账操作是该用户的合法操作。如果银行网站不仅验证cookie,同时再验证一个攻击者无法获取到的值,就能防御上述漏洞。
CsrfViewMiddleware中间件
Django防御csrf攻击是通过 django.middleware.csrf.CsrfViewMiddleware 中间件实现的,当我们创建项目后,默认在 settings 文件内的 MIDDLEWARE 内已经开启了该中间件
防御机理:验证cookie中的 csrftoken 值和表单中 csrfmiddlewaretoken (或ajax请求头中的X-CSRFToken参数)的值,两者里边的secret是否相同(不是完整的token值是否相同)来进行防御(这个值攻击者无法获取到)。
原因:由于浏览器同源策略的限制,钓鱼网站无法获取银行网站给用户设置的cookie,也就无法获取csrftoken值,自然就无法在form表单或ajax请求头中伪造该值,而django是要验证这两个值的secret是否是一致的
非ajax请求实现
该方法即form标签的action属性直接提交表单数据,当使用这种方式时,只需要在模板内使用 {% csrf_token %} (必须在form表单内) 即可实现防御,代码如下:
<form method="post" action="/login/">
{% csrf_token %}
</form>注意:在视图函数内return响应时,如果不是使用的render()函数,则需要确保 RequestContext 被用于渲染模板(render函数是自带上下文管理器的),否则 {% csrf_token %} 无法正常工作
{% csrf_token %} 作用:
1、在form表单内生成一个input标签,内容为
<input type="hidden" name="csrfmiddlewaretoken" value="jojovCfhvZhhqhbVf82BkzOA9EGIgPheBt3H0obOxygwCp4NHxcZ1tjhBbPl62DE">
2、在响应中设置cookie csrftoken=dArgJ7X1ygDM2lyau37guxRkwDR1lbd3vFbzeTTyAPC1etr2WshEbrm1Ya0Ebozt
ajax请求实现
现实开发中,我们可能更多的使用ajax的方式进行请求。
ajax的方式需要在请求头上设置 X-CSRFToken 参数来记录csrftoken的值,因此问题变成了如何获取csrftoken的值。
django提供了几种方式来获取该值,首先要区分 CSRF_USE_SESSIONS 是否开启,该参数表示是否将CSRF token 存储在session中而不是cookie中,一般情况下无需修改此值,默认是False。
django官方例子是从cookie中获取csrftoken。
CSRF_USE_SESSIONS 为False的情况
在此情形下,有两种方式来确保响应的cookie中有 csrftoken 这个值
1、在模板中添加 {% csrf_token %}(任意位置) ,则响应的cookie中自然会有csrftoken
2、模板中没有添加 {% csrf_token %} ,那么在视图函数上添加装饰器 `ensure_csrf_cookie`就会强制在响应头中添加 csrftoken这个cookie
从cookie中获取值的js代码
// using jQuery
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie !== '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) === (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
var csrftoken = getCookie('csrftoken');或者直接使用js的Cookie库来获取
var csrftoken = Cookies.get('csrftoken');上述仅描述从cookie中获取csrftoken,如果模板中设置了 {% csrf_token %} ,那么无论从cookie还是dom取值都是可以的
CSRF_USE_SESSIONS 为True的情况
此种方式若要获取csrftoken,就要求必须在html中存在 csrftoken(不能在cookie中获取该值),并使用js从dom中获取该值,也就是说必须在模板中添加 {% csrf_token %}(任意位置)
{% csrf_token %}
<script type="text/javascript">
// using jQuery
var csrftoken = jQuery("[name=csrfmiddlewaretoken]").val();
</script>在ajax请求中设置token
代码如下:
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
// 在jquery的每个请求发起前设置X-CSRFToken
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});以上步骤总结起来就是:
1、获取csrftoken值(从cookie或dom中获取,给cookie中设置该值的两种方法)
2、在ajax请求头中设置 X-CSRFToken 记录csrftoken值
3、发起ajax请求即可
前后端完全分离开发
在此种情形下,html页面不由django渲染返回(html页面作为静态文件处理,所有数据均为异步加载),因此无法通过上述几种方式来获取csrftoken的值
通过了解 CsrfViewMiddleware 可知,为form表单生成csrftoken是通过 get_token(request) 函数实现的,源码如下:
def get_token(request):
"""
Return the CSRF token required for a POST form. The token is an
alphanumeric value. A new token is created if one is not already set.
A side effect of calling this function is to make the csrf_protect
decorator and the CsrfViewMiddleware add a CSRF cookie and a 'Vary: Cookie'
header to the outgoing response. For this reason, you may need to use this
function lazily, as is done by the csrf context processor.
"""
if "CSRF_COOKIE" not in request.META:
csrf_secret = _get_new_csrf_string()
request.META["CSRF_COOKIE"] = _salt_cipher_secret(csrf_secret)
else:
csrf_secret = _unsalt_cipher_token(request.META["CSRF_COOKIE"])
request.META["CSRF_COOKIE_USED"] = True
return _salt_cipher_secret(csrf_secret)编写视图函数用来返回token值:
def get_token(request):
token = django.middleware.csrf.get_token(request)
return JsonResponse({'token': token})前端代码:
var csrftoken;
$.get('/csrf_token/', function (resp) {
csrftoken = resp.token; // 接受上边视图函数返回的token,保存到全局变量中
document.cookie = 'csrftoken=' + resp.token; // token设置到cookie中
});
// 将csrftoken设置到ajax的请求头上
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
// 在jquery的每个请求发起前设置X-CSRFToken
$.ajaxSetup({
beforeSend: function (xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});
// 下边发起ajax请求即可取消防御的几种手段
1、完全取消防御,直接注释掉 settings 中的 django.middleware.csrf.CsrfViewMiddleware 即可
2、少数视图函数取消防御,使用 csrf_exempt 来装饰视图函数即可
3、少数视图函数需要防御,先注释掉 settings 中的 django.middleware.csrf.CsrfViewMiddleware ,在需要防御的视图函数使用 csrf_protect 装饰器即可
4、如果在 CsrfViewMiddleware 中间件执行之前,视图函数先执行了(如返回404,500等页面),此时仍然需要确保{% csrf_token %}能够起作用,使用requires_csrf_token装饰器
参考链接:https://docs.djangoproject.com/zh-hans/2.0/ref/csrf/
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
这篇文章主要介绍了使用TensorFlow实现二分类的方法示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2019-02-02
在本篇内容里小编给各位分享的是关于python安装后的目录位置的知识点内容,需要的朋友们可以学习下。2020-06-06
这篇文章主要介绍了win10系统配置GPU版本Pytorch,本文通过图文并茂的形式给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2021-04-04
本文主要介绍了pandas按某2列进行分层随机抽样的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2024-12-12
Python进程multiprocessing.Process()的使用解读
这篇文章主要介绍了Python进程multiprocessing.Process()的使用,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2024-02-02
python openpyxl提取Excel图片实现原理技巧
在这篇文章中,将介绍如何使用openpyxl来提取Excel中的图片,以及它的原理和技巧,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2024-01-01
今天小编就为大家分享一篇对django xadmin自定义菜单的实例详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2019-01-01
这篇文章主要为大家介绍了Python中三元运算符的简洁性及多用途实例探究,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2024-01-01
这篇文章主要介绍了python中的继承机制super()函数详解,super 是用来解决多重继承问题的,直接用类名调用父类方法在使用单继承的时候没问题,但是如果使用多继承,会涉及到查找顺序、重复调用等问题,需要的朋友可以参考下2023-08-08
这篇文章主要介绍了Python实现处理管道的方法,实例分析了Python实现管道调用子程序的技巧,需要的朋友可以参考下2015-06-06
最新评论