Django中如何防范CSRF跨站点请求伪造攻击的实现


Posted in Python onApril 28, 2019

CSRF概念

CSRF跨站点请求伪造(Cross—Site Request Forgery)。

攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。

CSRF攻击原理以及过程

用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;

在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;

用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;

网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;

浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。

CSRF攻击实例

受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/withdraw?account=bob&amount=1000000&for=bob2可以使 Bob 把 1000000 的存款转到 bob2 的账号下。通常情况下,该请求发送到网站后,服务器会先验证该请求是否来自一个合法的 session,并且该 session 的用户 Bob 已经成功登陆。

黑客 Mallory 自己在该银行也有账户,他知道上文中的 URL 可以把钱进行转帐操作。Mallory 可以自己发送一个请求给银行:http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory。但是这个请求来自 Mallory 而非 Bob,他不能通过安全认证,因此该请求不会起作用。

这时,Mallory 想到使用 CSRF 的攻击方式,他先自己做一个网站,在网站中放入如下代码:src=”http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory ”,并且通过广告等诱使 Bob 来访问他的网站。当 Bob 访问该网站时,上述 url 就会从 Bob 的浏览器发向银行,而这个请求会附带 Bob 浏览器中的 cookie 一起发向银行服务器。大多数情况下,该请求会失败,因为他要求 Bob 的认证信息。但是,如果 Bob 当时恰巧刚访问他的银行后不久,他的浏览器与银行网站之间的 session 尚未过期,浏览器的 cookie 之中含有 Bob 的认证信息。这时,悲剧发生了,这个 url 请求就会得到响应,钱将从 Bob 的账号转移到 Mallory 的账号,而 Bob 当时毫不知情。等以后 Bob 发现账户钱少了,即使他去银行查询日志,他也只能发现确实有一个来自于他本人的合法请求转移了资金,没有任何被攻击的痕迹。而 Mallory 则可以拿到钱后逍遥法外。

Django中如何防范CSRF

Django使用专门的中间件(CsrfMiddleware)来进行CSRF防护。具体的原理如下:

1.它修改当前处理的请求,向所有的 POST 表单增添一个隐藏的表单字段,使用名称是 csrfmiddlewaretoken ,值为当前会话 ID 加上一个密钥的散列值。 如果未设置会话 ID ,该中间件将不会修改响应结果,因此对于未使用会话的请求来说性能损失是可以忽略的。

2.对于所有含会话 cookie 集合的传入 POST 请求,它将检查是否存在 csrfmiddlewaretoken 及其是否正确。 如果不是的话,用户将会收到一个 403 HTTP 错误。 403 错误页面的内容是检测到了跨域请求伪装。 终止请求。

该步骤确保只有源自你的站点的表单才能将数据 POST 回来。

另外要说明的是,未使用会话 cookie 的 POST 请求无法受到保护,但它们也不 需要 受到保护,因为恶意网站可用任意方法来制造这种请求。为了避免转换非 HTML 请求,中间件在编辑响应结果之前对它的 Content-Type 头标进行检查。 只有标记为 text/html 或 application/xml+xhtml 的页面才会被修改。

Django防范CSRF的具体操作

1. 将'django.middleware.csrf.CsrfViewMiddleware'添加到Django的settings.py文件中的MIDDLEWARE_CLASSES列表中(默认已经添加)。 该中间件必须在 SessionMiddleware 之后执行,因此在列表中 CsrfMiddleware 必须出现在SessionMiddleware 之前 (因为响应中间件是自后向前执行的)。 同时,它也必须在响应被压缩或解压之前对响应结果进行处理,因此CsrfMiddleware必须在GZipMiddleware之后执行。

MIDDLEWARE_CLASSES = (
  'django.middleware.common.CommonMiddleware',
  'django.contrib.sessions.middleware.SessionMiddleware',
  'django.middleware.csrf.CsrfViewMiddleware',
  'django.contrib.auth.middleware.AuthenticationMiddleware',
  'django.contrib.messages.middleware.MessageMiddleware',
  # Uncomment the next line for simple clickjacking protection:
  # 'django.middleware.clickjacking.XFrameOptionsMiddleware',
)

2. 在使用到POST方法提交FORM的页面中,添加csrf_token标签,例如:

<form action="." method="post">{% csrf_token %}

3. 在相应的view中,确保“django.core.context_processors.csrf” 上下文处理器被正确使用,有两种方法实现这一点,一是使用RequestContext,它内部会自动使用到“django.core.context_processors.csrf”。另一种方法是手动使用这个处理器,示例代码如下:

from django.core.context_processors import csrf
from django.shortcuts import render_to_response
def my_view(request):
  c = {}
  c.update(csrf(request))
  # ... view code here
return render_to_response("a_template.html", c)

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Python 相关文章推荐
由Python运算π的值深入Python中科学计算的实现
Apr 17 Python
python+matplotlib绘制旋转椭圆实例代码
Jan 12 Python
python模拟表单提交登录图书馆
Apr 27 Python
pycharm恢复默认设置或者是替换pycharm的解释器实例
Oct 29 Python
对pycharm 修改程序运行所需内存详解
Dec 03 Python
浅谈python新式类和旧式类区别
Apr 26 Python
Python弹出输入框并获取输入值的实例
Jun 18 Python
python实现微信自动回复及批量添加好友功能
Jul 03 Python
Python倒排索引之查找包含某主题或单词的文件
Nov 13 Python
python numpy--数组的组合和分割实例
Feb 24 Python
pycharm 2018 激活码及破解补丁激活方式
Sep 21 Python
python使用nibabel和sitk读取保存nii.gz文件实例
Jul 01 Python
​如何愉快地迁移到 Python 3
Apr 28 #Python
python学习开发mock接口
Apr 28 #Python
Python简单基础小程序的实例代码
Apr 28 #Python
python实现Excel文件转换为TXT文件
Apr 28 #Python
Python3.5模块的定义、导入、优化操作图文详解
Apr 27 #Python
Python3.5内置模块之time与datetime模块用法实例分析
Apr 27 #Python
Python3.5内置模块之os模块、sys模块、shutil模块用法实例分析
Apr 27 #Python
You might like
php 网页播放器用来播放在线视频的代码(自动判断并选择视频文件类型)
2010/06/03 PHP
PHP Cookie的使用教程详解
2013/06/03 PHP
PHP5.5和之前的版本empty函数的不同之处
2014/06/13 PHP
拖动一个HTML元素
2006/12/22 Javascript
基于jQuery的星级评分插件
2011/08/12 Javascript
用js小类库获取浏览器的高度和宽度信息
2012/01/15 Javascript
js将当前时间格式转换成时间搓(自写)
2013/09/26 Javascript
extjs_02_grid显示本地数据、显示跨域数据
2014/06/23 Javascript
javascript每日必学之继承
2016/02/23 Javascript
解析浏览器端的AJAX缓存机制
2016/06/21 Javascript
Jq通过td获取同行其它列td的方法
2016/10/05 Javascript
easyui下拉框动态级联加载的示例代码
2017/11/29 Javascript
详解基于mpvue的小程序markdown适配解决方案
2018/05/08 Javascript
laydate如何根据开始时间或者结束时间限制范围
2018/11/15 Javascript
webpack 代码分离优化快速指北
2019/05/18 Javascript
vue实现评论列表功能
2019/10/25 Javascript
Vue 实现把表单form数据 转化成json格式的数据
2019/10/29 Javascript
[00:10]DOTA2全国高校联赛 以DOTA2会友
2018/05/30 DOTA
[49:59]KG vs Mineski 2019国际邀请赛小组赛 BO2 第二场 8.15
2019/08/16 DOTA
深入理解NumPy简明教程---数组1
2016/12/17 Python
python模块之paramiko实例代码
2018/01/31 Python
Python简易版停车管理系统
2019/08/12 Python
python3爬虫中异步协程的用法
2020/07/10 Python
Python pysnmp使用方法及代码实例
2020/08/24 Python
利用python查看数组中的所有元素是否相同
2021/01/08 Python
HTML5里的placeholder属性使用实例和美化显示效果的方法
2014/04/23 HTML / CSS
美国知名的摄影器材销售网站:Adorama
2017/02/01 全球购物
Carrs Silver官网:英国著名的银器品牌
2020/08/29 全球购物
说出一些常用的类,包,接口
2014/09/22 面试题
数据库连接池的工作原理
2012/09/26 面试题
校园安全标语
2014/06/07 职场文书
2014年学习厉行节约反对浪费思想汇报
2014/09/10 职场文书
项目合作协议书
2014/09/23 职场文书
中班下学期个人工作总结
2015/02/12 职场文书
Python中快速掌握Data Frame的常用操作
2021/03/31 Python
为什么 Nginx 比 Apache 更牛逼
2021/03/31 Servers