1 csrf定义

- csrf定义:Cross Site Request Forgery,跨站请求伪造

        举例来说:

            网站A伪造了一个图片链接:

            <a href="http://www.cmbchina.com/?to=652222287448748&money=1999999><img></img></a>

            该链接指向招商银行的转账链接, 而如果当前浏览器存储当前用户在招商银行Cookie。

            用户登录了A网站,点击上面的图片,就会自动转账到用户6522222874487848,1999999金额。

2 csrf攻击原理

3 表单请求csrf攻击防御

    - 表单提交请求防范csrf攻击

        a.原理:

            表单的提交分为两个阶段:表单渲染,表单提交。 只要在表单提交的时候,检验提交的表单是否自己渲染的

            即可

        b.图片概括原理:

        c.详细介绍

            后台渲染表单的时候,设置表单隐藏令牌token,

            前端提交数据+令牌token,后台判断表单提交的令牌token是否自己颁发的

        - 不要将请求的数据放在get中,而是通过POST/PUT/DELETE,通过表单提交。

        - 表单提交数据,添加一个token

        - 每次表单提交数据时,服务器都要求验证token

        - token隐藏

4 表单请求csrf攻击防御原理图

5 ajax请求csrf攻击防御

    - ajax请求csrf攻击防御

        a.原理:

            get请求加载页面,+ ajax提交两个阶段。 服务器在响应get请求时设置cookie令牌

            然后ajax请求携带上cookie令牌,后台检验ajax请求的cookie令牌是否自己颁发的即可

6 ajax请求csrf攻击防御原理图

7 csrf防御方案总结

    - csrf防御的方案:

        服务器颁发一个令牌token,浏览器提交数据时带上令牌,服务器验证令牌是否自己颁发的。

        对于表单提交来说,令牌token存储在表单DOM上,其他站点无法获取到。

        对于Ajax提交来说,令牌token存储在Cookie上,其他站点无法获取到。

8 django form请求csrf防御实例

    - django防范Form表单请求csrf攻击

        a.原理

            - 通过中间件CsrfMiddleWare来进行csrf防护。

            - django渲染表单时,随机生成令牌csrftoken,并设置隐藏在表单上

            - 客户端提交form表单时,会将令牌一起携带

            - 服务器在处理POST数据时,django会验证表单提交的csrfmiddlewaretoken值是否刚才自己设置的token;

                不一样,返回403 Forbidden,非法请求

        b.样例

            - 使用form请求csrf防御

                 a. settings添加中间件'django.middleware.csrf.CsrfViewMiddleware'

                 b. 在表单上{% crsf_token %}

                 c. 实例

                    #前端

                     <form action="/csrf1.html" method="POST">

                        {% csrf_token %}

                        <input type="text" name="username" placeholder="用户名" id="user">

                        <input type="password" name="pwd" placeholder="密码" >

                        <input type="submit" value="提交">

                    </form>

9 django ajax请求csrf防御实例

    - django防范ajax请求csrf攻击

        a.原理 ajax发送csrf, 消息头携带cookie的csrf

                获取cookie里面的csrftoken, 并在请求头里面设置X-CSRFToken: csrftoken

                前端js获取cookie,需要引入插件jquery.cookie.js

        b.实例

         settings添加中间件'django.middleware.csrf.CsrfViewMiddleware'

         <form action="/csrf1.html" method="POST">

            <input type="text" name="username" placeholder="用户名" id="user">

            <input type="password" name="pwd" placeholder="密码" >

            <a onclick="submit_ajax()">ajax提交</a>

         </form>

         <script src="/static/js/jquery-1.12.4.js"></script>

         <script src="/static/js/jquery.cookie.js"></script>

         <script>

                function submit_ajax() {

                var token = $.cookie('csrftoken');

                var user = $('#user').val();

                $.ajax({

                    url: '/csrf1.html',

                    type: 'POST',

                    headers:{'X-CSRFToken': token},

                    data: {'username': user},

                    success: function (arg) {

                        console.log(arg)

                    }

                })

            }

        </script>

[oldboy-django][4python面试]有关csrf跨站伪造请求攻击的更多相关文章

  1. CSRF跨站伪造请求

    一.什么是CSRF CSRF(Cross Site Request Forgery) 跨站请求伪造.也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF ...

  2. Web安全之跨站伪造请求(CSRF)

    CSRF简介 CSRF全称跨站伪造请求(Cross-site request forgery)也称为one click attack/session riding,还可以缩写为XSRF 通俗说就是利用 ...

  3. django表单验证和跨站伪造csrf

    Form验证 django中的Form一般有两种功能: 输入html 验证用户输入 django使用内置form方法验证表单提交的数据 html页面 <!DOCTYPE html> < ...

  4. Django的安全机制 CSRF 跨站请求访问

    跨站请求伪造 一.简介 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成.而对于django中设置防 ...

  5. 防御CSRF的方法有哪些(一) HTTP 头中自定义属性并验证 CSRF跨站域请求伪造攻击

    CSRF (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下 ...

  6. web攻击之二:CSRF跨站域请求伪造

    CSRF是什么? (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click ...

  7. 渗透之路基础 -- 跨站伪造请求CSRF

    漏洞产生原因及原理 跨站请求伪造是指攻击者可以在第三方站点制造HTTP请求并以用户在目标站点的登录态发送到目标站点,而目标站点未校验请求来源使第三方成功伪造请求. XSS利用站点内的信任用户,而CSR ...

  8. JavaScript 跨站伪造请求-CSRF

    CSRF: Cross-Site Request Forgery CSRF 概念 `定义`: 是一种对网站的而已利用,也被称之为one-click-attack 或者 session riding, ...

  9. 渗透实战(周四):CSRF跨站域请求伪造

    上图是广东外语外贸大学北校区内MBA中心旁边酒店房间的Wi-Fi网络环境,假设我们的Kali攻击机连入到SSID为414(房间号)的Wi-Fi网络,其IP地址:192.168.43.80 .同一Wi- ...

随机推荐

  1. C#,什么是Attribute?什么特性?怎么被调用?

    定制特性attribute,本质上是一个类,其为目标元素提供关联附加信息,并在运行期以反射的方式来获取附加信息(获取到特性类),相当于优雅的为元素添加了一个tag,这个tag是一个类. Attribu ...

  2. windows xp professional 序列号(密钥)及百度网盘下载地址

    HH7VV-6P3G9-82TWK-QKJJ3-MXR96 https://pan.baidu.com/share/link?uk=4247247642&shareid=500360

  3. 关于wp8.1 runtime模式下面的摄像头调用拍照问题和应用生命周期问题

    现在的msdn文档,还找不到详细的wp8.1的摄像头拍照文档,只有一个序列拍照,类似九连拍的文档,而且这文档感觉就是windows8.1搬过来应付的,wp8.1模式,只要有一个地方处理不好,手机就会死 ...

  4. 渐变色在IE9以下包括IE9的使用

    因为是不支持gradient的.所以需要使用如下属性,该属性不适用于safria浏览器,并且,#fff不可以简写,要写成#ffffff这样的形式 FILTER: progid:DXImageTrans ...

  5. codeforces 600C Make Palindrome

    要保证变化次数最少就是出现次数为奇数的相互转化,而且对应字母只改变一次.保证字典序小就是字典序大的字母变成字典序小的字母. 长度n为偶数时候,次数为奇数的有偶数个,按照上面说的搞就好了. n为奇数时, ...

  6. UVA 12118 Inspector's Dilemma(连通性,欧拉路径,构造)

    只和连通分量以及度数有关.不同连通分量只要连一条边就够了,连通分量为0的时候要特判.一个连通分量只需看度数为奇的点的数量,两个端点(度数为奇)是必要的. 如果多了,奇点数也一定是2的倍数(一条边增加两 ...

  7. 全面了解linux情况常用命令

    查看linux服务器CPU详细情况1. 显示CPU个数命令 # cat /proc/cpuinfo | grep "physical id" | sort | uniq | wc ...

  8. 【BZOJ2006】[NOI2010] 超级钢琴(堆+RMQ)

    点此看题面 大致题意: 要你求出区间和前\(k\)大的区间的区间和之和,其中每个区间的大小在\(L\)与\(R\)之间. 堆+\(RMQ\) 这道题目,我们可以先对\(1\sim n\)中的每一个\( ...

  9. 查看数据库表存储引擎MyISAM/InnoDB

    Mysql: show table status *MyISAM不支持PDO的事务

  10. Servlet 学习小结

    一.是什么 是用java编写的服务器端程序.从狭义来讲,servlet是java语言实现的一个接口:广义的servlet是指任何实现了这个servlet接口的类.一般情况下,人们将servlet理解为 ...