导读:本篇文章首席CTO笔记来给大家介绍有关Django中如何防止csrf的相关内容,希望对大家有所帮助,一起来看看吧。
本文目录一览:
1、csrf_token的了解2、哪些方法可以有效的防止csrf攻击3、当我用django的超级用户登录时候,出现CSRF的错误,如图,怎么解决啊??4、什么是CSRF攻击,如何预防5、如何防止CSRF注入式攻击6、怎么解决django的防csrf?csrf_token的了解
django中写form表单时csrf_token的作用:
Django下的CSRF预防机制
CSRF预防机制
CSRF的防御可以从服务端和客户端两方面着手,防御效果是从服务端着手效果比较好,现在一般的CSRF防御也都在服务端进行。
token防御的整体思路是:
第一步:后端随机产生一个token,把这个token保存在SESSION状态中;同时,后端把这个token交给前端页面;
第二步:下次前端需要发起请求(比如发帖)的时候把这个token加入到请求数据或者头信息中,一起传给后端;
第三步:后端校验前端请求带过来的token和SESSION里的token是否一致;
1、Django下的CSRF预防机制
django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 token,把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token,
这样就能避免被 CSRF 攻击。
在 templete 中, 为每个 POST form 增加一个 {% csrf_token %} tag. 如下:
在返回的 HTTP 响应的 cookie 里,django 会为你添加一个 csrftoken 字段,其值为一个自动生成的 token
在所有的 POST 表单模板中,加一个{% csrf_token %} 标签,它的功能其实是给form增加一个隐藏的input标签,如下
,而这个csrf_token = cookie.csrftoken,在渲染模板时context中有context['csrf_token'] = request.COOKIES['csrftoken']
在通过表单发送POST到服务器时,表单中包含了上面隐藏了crsrmiddlewaretoken这个input项,服务端收到后,django 会验证这个请求的 cookie 里的 csrftoken 字段的值和提交的表单里的 csrfmiddlewaretoken 字段的值是否一样。如果一样,则表明这是一个合法的请求,否则,这个请求可能是来自于别人的 csrf 攻击,返回 403 Forbidden.
在通过 ajax 发送POST请求到服务器时,要求增加一个x-csrftoken header,其值为 cookie 里的 csrftoken 的值,服务湍收到后,django会验证这个请求的cookie里的csrftoken字段与ajax post消息头中的x-csrftoken header是否相同,如果相同,则表明是一个合法的请求
具体实现方法
django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。
全局:
中间件 django.middleware.csrf.CsrfViewMiddleware
局部:
@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
@csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。
注:from django.views.decorators.csrf import csrf_exempt,csrf_protect
1、原理
在客户端页面上添加csrftoken, 服务器端进行验证,服务器端验证的工作通过'django.middleware.csrf.CsrfViewMiddleware'这个中间层来完成。在django当中防御csrf攻击的方式有两种:
1.在表单当中附加csrftoken
2.通过request请求中添加X-CSRFToken请求头。
注意:Django默认对所有的POST请求都进行csrftoken验证,若验证失败则403错误侍候。
Django 设置 cookie 中的 csrftoken
VUE向django发送post返回403:CSRF Failed: CSRF token missing or incorrect解决方案:
哪些方法可以有效的防止csrf攻击
CSRF,全拼为Cross-site request forgery,也被称为one-click attack或者session riding,中文名称叫跨站请求伪造。一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误认为是用户的真实操作而去执行命令。常用于盗用账号、转账、发送虚假消息等。
攻击者利用网站对请求的验证漏洞而实现这样的攻击行为,网站能够确认请求来源于用户的浏览器,却不能验证请求是否源于用户的真实意愿下的操作行为。
CSRF攻击防范手段有哪些?
第一、验证HTTP Referer字段
HTTP头中的Referer字段记录了该HTTP请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,而如果黑客要对其实施CSRF攻击,他一般只能在他自己的网站构造请求。因此,可以通过验证Referer值来防御CSRF攻击。
第二、使用验证码
关键操作页面加上验证码,后台收到请求后通过判断验证码可以防御CSRF。但这种方法对用户不太友好。
第三、在请求地址中添加token并验证
CSRF攻击之所以成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于cookie中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie来通过安全验证。要抵御CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于cookie中。可以在HTTP请求中以参数的形式加入一个随机产生的token,并在服务器端建立一个拦截器来验证这个token,如果请求中没有token或者token内容不正确,则认为可能是CSRF攻击而拒绝该请求。这种方法要比检查Referer要安全,token可以在用户登陆后产生并放于session中,然后在每次请求时把token从session中拿出,与请求中的token进行比对,但这种方法的难点在于如何把token以参数的形式加入请求。
对于get请求,token将附在请求地址之后,这样URL就变成:。
对于post请求,要在form的最后加上input type="hidden" name="csrftoken" value="tokenvalue"/,这样就把token以参数的形式加入请求了。
第四、在HTTP头中自定义属性并验证
这种方法也是使用token并进行验证,和上一种方法不同的是,这里并不是把token以参数的形式置于HTTP请求中,而是把它放到HTTP头中自定义的属性里。通过XMLHttpRequest这个类,可以一次性给所有该类请求加上csrftoken这个HTTP头属性,并把token值放入其中。这样解决了上种方法在请求中加入token的不便;同时,通过XMLHttpRequest请求的地址不会被记录到浏览器的地址栏,也不用担心token会透过Referer泄露到其他网站中去。
当我用django的超级用户登录时候,出现CSRF的错误,如图,怎么解决啊??
需要在form后面加上csrf_token。如:
form method="post"{% csrf_token %}
xxx
/form
或者修改django源码:django/middleware/csrf.py process_view
在“# If the user doesn't have a CSRF cookie”上面增加以下代码:
if request.path.startswith('/admin'):
return accept()
如果django版本为1.2.5,则修改为:
if request.path.startswith('/admin'):
return self._accept(request)
这表示 请求url是/admin的话,即使form后面没带csrf_token也可以访问。
什么是CSRF攻击,如何预防
CSRF攻击,全称为“Cross-site request forgery”,中文名为跨站请求伪造,也被称为“One Click
Attack”或者“Session Riding”,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
XSS主要是利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求,来利用受信任的网站。与XSS相比,CSRF更具危险性。
CSRF攻击的危害:
主要的危害来自于攻击者盗用用户身份,发送恶意请求。比如:模拟用户发送邮件,发消息,以及支付、转账等。
如何防御CSRF攻击:
1、重要数据交互采用POST进行接收,当然POST也不是万能的,伪造一个form表单即可破解。
2、使用验证码,只要是涉及到数据交互就先进行验证码验证,这个方法可以完全解决CSRF。
3、出于用户体验考虑,网站不能给所有的操作都加上验证码,因此验证码只能作为一种辅助手段,不能作为主要解决方案。
4、验证HTTP Referer字段,该字段记录了此次HTTP请求的来源地址,最常见的应用是图片防盗链。
5、为每个表单添加令牌token并验证。
如何防止CSRF注入式攻击
在Web应用程序侧防御CSRF漏洞,一般都是利用referer、token或者验证码,Nexus
的文章[7]已经写的很全面了;superhei也有提出bypass的思路[8],请参考他们的文章。
还有一个思路是在客户端防御,貌似可以做成一个类似HTTP Watch的软件,挂在浏览
器上拦截或者过滤跨域的cookie
怎么解决django的防csrf?
django post出现403的解决办法 据说,从django1.x开始,加入了CSRF保护。\x0d\x0a\x0d\x0aCSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。-------来自百度百科\x0d\x0a报错:Forbidden (403)\x0d\x0aCSRF verification failed. Request aborted.Help\x0d\x0aReason given for failure:CSRF token missing or incorrect.\x0d\x0aIn general, this can occur when there is a genuine Cross Site Request Forgery, or when Django's CSRF mechanism has not been used correctly. For POST forms, you need to ensure:\x0d\x0a\x0d\x0aYour browser is accepting cookies.\x0d\x0aThe view function uses RequestContext for the template, instead of Context.\x0d\x0aIn the template, there is a {% csrf_token %} template tag inside each POST form that targets an internal URL.\x0d\x0aIf you are not using CsrfViewMiddleware, then you must use csrf_protect on any views that use the csrf_token template tag, as well as those that accept the POST data.\x0d\x0aYou're seeing the help section of this page because you have DEBUG = True in your Django settings file. Change that to False, and only the initial error message will be displayed.\x0d\x0aYou can customize this page using the CSRF_FAILURE_VIEW setting.\x0d\x0a在网上找解决办法,说是提交参数中要有csrf_token,才能成功。但网上都是1.3或者1.4版本的解决办法,在1.5版本中测试已经不能用了。\x0d\x0a\x0d\x0a在1.5.1版本,我测试可行的解决办法有三种:\x0d\x0a一:\x0d\x0a关闭csrf保护功能。为视图函数添加@csrf_exempt修饰符。\x0d\x0a\x0d\x0afrom django.views.decorators.csrf import csrf_exempt@csrf_exemptdef view(request): #your code..... 当然这样不安全。\x0d\x0a\x0d\x0a二: 在模版文件中,每个form提交域中都加上{% csrf_token %}标签,并使用render函数返回视图,或者强行使用RequestContext 代替Context。例: from django.shortcuts import renderdef contact(request): form = ContactForm()#这里我使用了一个django的表格 return render(request,'contact.html', {'form': form})\x0d\x0a或者:\x0d\x0afrom django.shortcuts import render_to_responsedef contact(request): form = ContactForm()#这里我使用了一个django的表格 return render_to_response('contact.html', {'form': form}, context_instance=RequestContext(request) ) \x0d\x0a\x0d\x0acontact.html的内容:\x0d\x0a ul.errorlist { margin: 0; padding: 0; } .errorlist li { background-color: red; color: white; display: block; font-size: 10px; margin: 0 0 3px; padding: 4px 5px; } send Contact us {% csrf_token %} {{ form.subject.errors }} 工作: {{ form.subject }} {{ form.email.errors }} 你的邮箱地址: {{ form.email }} {{ form.message.errors }} 消息: {{ form.message }} \x0d\x0a三:\x0d\x0a方法二显然只能限制在django模版中使用,那如果我们使用javascript或者AJAX的时候呢?怎么添加csrf_token呢?\x0d\x0a\x0d\x0a我们可以使用javascript来提取cookies中的csrf_token。\x0d\x0a\x0d\x0afunction getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie != '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = jQuery.trim(cookies[i]); if (cookie.substring(0, name.length + 1) == (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } \x0d\x0a或者这个好理解的:\x0d\x0afunction getCookie(sName){ var aCookie=document.cookie.split("; "); for(var i=0;i
结语:以上就是首席CTO笔记为大家整理的关于Django中如何防止csrf的全部内容了,感谢您花时间阅读本站内容,希望对您有所帮助,更多关于Django中如何防止csrf的相关内容别忘了在本站进行查找喔。