Django csrf 验证问题的实现


Posted in Python onOctober 09, 2018

关于 csrf 的基本了解

百度百科:CSRF(Cross-site request forgery)跨站请求伪造,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。通过伪装来自受信任用户的请求来利用受信任的网站。

简单来说就是攻击者盗用你的身份,以你的名义来发送恶意请求。比如说用户通过账号密码访问了网站A,A网站将一些cookie信息保存在浏览器中实现用户状态行为跟踪。这时用户又打开了B网站,B网站返回了一些恶意代码,并请求访问A。这样浏览器就会携带cookie以用户的权限访问A网站并执行代码。而在服务器看来,这些都是正常的用户操作。

Django 提供的 CSRF 防护机制

django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 token,把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token,

这样就能避免被 CSRF 攻击。

1.在返回的 HTTP 响应的 cookie 里,django 会为你添加一个 csrftoken 字段,其值为一个自动生成的 token
2.在所有的 POST 表单时,必须包含一个 csrfmiddlewaretoken 字段 (只需要在模板里加一个 tag, django 就会自动帮你生成,见下面)
3.在处理 POST 请求之前,django 会验证这个请求的 cookie 里的 csrftoken 字段的值和提交的表单里的 csrfmiddlewaretoken 字段的值是否一样。如果一样,则表明这是一个合法的请求,否则,这个请求可能是来自于别人的 csrf 攻击,返回 403 Forbidden.
4.在所有 ajax POST 请求里,添加一个 X-CSRFTOKEN header,其值为 cookie 里的 csrftoken 的值

Django 里如何使用 CSRF 防护

  • 首先,最基本的原则是:GET 请求不要用有副作用。也就是说任何处理 GET 请求的代码对资源的访问都一定要是“只读“的。
  • 要启用 django.middleware.csrf.CsrfViewMiddleware 这个中间件
  • 再次,在所有的 POST 表单元素时,需要加上一个 {% csrf_token %} tag
  • 在渲染模块时,使用 RequestContext。RequestContext 会处理 csrf_token 这个 tag,  从而自动为表单添加一个名为 csrfmiddlewaretoken 的 input

在Django 中对csrf 的防范

Django中自带了防止csrf攻击的功能,但对于初学者来说可能不知道如何使用,并给自己带来些意外的麻烦。

例如:一个正常的表单提交操作却总是报错。

Django 中GET请求不需要csrf认证,post请求需要正确的认证才能得到正确的返回结果。

我们先处理一下对表单提交的 csrf 验证问题:一般在POST表单中加入{% csrf_token %}

<form method="POST" action="#">
{% csrf_token %}
  <input name='password' value='用户密码'>
</form>

加入了这句话后,再次提交post表单就不会出现问题了。

或者是另一个思路:禁用csrf 

不过这样可能带来的危害你自己要想清楚了。

全局禁用:settings文件中找到关于csrf的中间件,直接注释。

针对性禁用:在表单提交的对应视图函数上加上一个装饰器 @csrf_exempt

——————————————————————

{% csrf_token %} 实际上是一个模板语法,将项目的token值写入到前端页面的表单中,这个值在建立django项目时就已经自动生成,可以在setting中看到。

——————————————————————?

下面再看一下Ajax调用时的处理方式

在使用 jquery 的 ajax 或者 post 之前可以加入一段 js 代码

jQuery(document).ajaxSend(function(event, xhr, settings) {
  function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie != '') {
      var cookies = document.cookie.split(';');
      for (var i = 0; i < cookies.length; i++) {
        var cookie = jQuery.trim(cookies[i]);
        // Does this cookie string begin with the name we want?
        if (cookie.substring(0, name.length + 1) == (name + '=')) {
          cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
          break;
        }
      }
    }
    return cookieValue;
  }
  function sameOrigin(url) {
    // url could be relative or scheme relative or absolute
    var host = document.location.host; // host + port
    var protocol = document.location.protocol;
    var sr_origin = '//' + host;
    var origin = protocol + sr_origin;
    // Allow absolute or scheme relative URLs to same origin
    return (url == origin || url.slice(0, origin.length + 1) == origin + '/') ||
      (url == sr_origin || url.slice(0, sr_origin.length + 1) == sr_origin + '/') ||
      // or any other URL that isn't scheme relative or absolute i.e relative.
      !(/^(\/\/|http:|https:).*/.test(url));
  }
  function safeMethod(method) {
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
  }

  if (!safeMethod(settings.type) && sameOrigin(settings.url)) {
    xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
  }
});

或者是直接在模板文件中写入

$.ajaxSetup({
  data: {csrfmiddlewaretoken: '{{ csrf_token }}' },
});

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Python 相关文章推荐
关于Python 3中print函数的换行详解
Aug 08 Python
python自动查询12306余票并发送邮箱提醒脚本
May 21 Python
python 筛选数据集中列中value长度大于20的数据集方法
Jun 14 Python
Python查找第n个子串的技巧分享
Jun 27 Python
使用Python制作自动推送微信消息提醒的备忘录功能
Sep 06 Python
win10 64bit下python NLTK安装教程
Sep 19 Python
python DataFrame 取差集实例
Jan 30 Python
python json load json 数据后出现乱序的解决方案
Feb 27 Python
python pandas dataframe 去重函数的具体使用
Jul 20 Python
pycharm中选中一个单词替换所有重复单词的实现方法
Nov 17 Python
Flask中jinja2的继承实现方法及实例
Mar 03 Python
Python实现列表拼接和去重的三种方式
Jul 02 Python
Python正则表达式指南 推荐
Oct 09 #Python
详解Django的CSRF认证实现
Oct 09 #Python
浅析python中的迭代与迭代对象
Oct 08 #Python
实例讲解python中的序列化知识点
Oct 08 #Python
实例讲解python中的协程
Oct 08 #Python
详解python分布式进程
Oct 08 #Python
python中多个装饰器的执行顺序详解
Oct 08 #Python
You might like
关于拼配咖啡,你要知道
2021/03/03 咖啡文化
从Web查询数据库之PHP与MySQL篇
2009/09/25 PHP
PHP备份数据库生成SQL文件并下载的函数代码
2012/02/05 PHP
PHP版 汉字转码的实现详解
2013/06/09 PHP
本地计算机无法启动Apache故障处理
2014/08/08 PHP
laravel5.0在linux下解决.htaccess无效和去除index.php的问题
2019/10/16 PHP
javascript 鼠标拖动图标技术
2010/02/07 Javascript
div+css布局的图片连续滚动js实现代码
2010/05/04 Javascript
EASYUI TREEGRID异步加载数据实现方法
2012/08/22 Javascript
Extjs grid panel自带滚动条失效的解决方法
2014/09/11 Javascript
jQuery事件绑定与解除绑定实现方法
2015/04/15 Javascript
javascript操作ul中li的方法
2015/05/14 Javascript
ztree获取选中节点时不能进入可视区域出现BUG如何解决
2015/12/03 Javascript
AngularJS实现全选反选功能
2015/12/08 Javascript
JavaScript实现图片懒加载(Lazyload)
2016/11/28 Javascript
一个简易的js图片轮播效果
2017/07/22 Javascript
JavaScript闭包的简单应用
2017/09/01 Javascript
vue对storejs获取的数据进行处理时遇到的几种问题小结
2018/03/20 Javascript
vue富文本框(插入文本、图片、视频)的使用及问题小结
2018/08/17 Javascript
[jQuery] 事件和动画详解
2019/03/05 jQuery
巧妙运用v-model实现父子组件传值的方法示例
2019/04/07 Javascript
解决Vue keep-alive 调用 $destory() 页面不再被缓存的情况
2020/10/30 Javascript
使用Python监控文件内容变化代码实例
2018/06/04 Python
详解Python中的分支和循环结构
2020/02/11 Python
台湾深度自由行旅游平台:Tripbaa趣吧
2017/10/10 全球购物
Square Off美国/加拿大:世界上最聪明的国际象棋棋盘
2018/12/06 全球购物
《七颗钻石》教学反思
2014/02/28 职场文书
求职信结尾怎么写
2014/05/26 职场文书
乳制品整治工作方案
2014/05/29 职场文书
大学生在校表现评语
2014/12/31 职场文书
汽车质检员岗位职责
2015/04/08 职场文书
2015年领导班子工作总结
2015/05/23 职场文书
JavaScript实现简单拖拽效果
2021/09/15 Javascript
Linux安装apache服务器的配置过程
2021/11/27 Servers
「魔导具师妲莉亚永不妥协~从今天开始的自由职人生活~」1、2卷发售宣传CM公开
2022/03/21 日漫
Vue OpenLayer 为地图绘制风场效果
2022/04/24 Vue.js