csrf 跨站请求伪造

一、简介

django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。

1.1 第1次来访问的时候(get方法),先拿到字符串;下次再来访问的时候(post方法)也必须带着这一串字符串才能成功。CSRF是指提交数据的时候必须通过验证。cookie和session是关于用户名/密码保存的。

第2种方法

form表单提交的时候,加上它就可以了。

这个CSRF字符串不仅在表单里面有了,在cookie里面也有了。

当用form表单提交的时候,把随机字符串和cookie值都发过去了。

1.2 如果用Ajax往后台发数据的时候,只需要把cookie值拿到,放到请求头里面发过去就可以了。

先来看一个没有加cookie值的Ajax请求过程:

login.html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

    <form action="/login/" method="POST" >

        {%csrf_token%}

        <input type="text" name="user" placeholder="user"/>

        <input type="text" name="pwd" placeholder="pwd"/>

        <input type="checkbox" name="remember" value="1"/> 10秒免登录

        <input type="submit" value="提交"/>

        <input id="btn" type="button" value="按钮"/>

    </form>

    <script src="/static/jquery-1.12.4.js"></script>

    <script src="/static/jquery.cookie.js"></script>

    <script>

        $(function(){

            $('#btn').click(function(){

                $.ajax({

                    url:'/login/',

                    type:"POST",

                    data:{'user':'root','pwd':'123'},

                    success:function(arg){

                    }

                })

            })

        })

    </script>

</body>

</html>

此时如果登录的话,则通不过CSRF验证,报403错误。做这个实例的时候,不要在setting里面注释这句

'django.middleware.csrf.CsrfViewMiddleware'

带上随机字符串的话, 才能登录成功。从cookie里面先把随机字符串获取到。获取方法如下:$.cookie('csrftoken')

 但是后台需要通过key去获取这个值,那么这个值对应的key是什么呢?通过打印settings.CSRF_HEADER_NAME可知,

key是HTTP_X_CSRFTOKEN, HTTP_ 是django自动给加上的,所以我们发送的时候,只需要把key设置成 X_CSRFTOKEN就可以了。 

由于请求头里面不能出现下划线,所以最终设置的时候应该写成 X-CSRFTOKEN。

(1) 下面的图说明key是啥样的

(2)下面这个例子来验证HTTP_是Django自动添加的。

(3)理论上我们把请求头设置成X_CSRFTOKEN 就可以了。 但是由于Django有要求,请求头里面不能出现下划线,所以最终我们把请求头设置成X-CSRFTOKEN 的样子。按照官网推荐,建议写成

X-CSRFtoken。

headers:{'X-CSRFtoken':$.cookie('csrftoken')},

login.html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

    <form action="/login/" method="POST" >

        {%csrf_token%}

        <input type="text" name="user" placeholder="user"/>

        <input type="text" name="pwd" placeholder="pwd"/>

        <input type="checkbox" name="remember" value="1"/> 10秒免登录

        <input type="submit" value="提交"/>

        <input id="btn" type="button" value="按钮"/>

    </form>

    <script src="/static/jquery-1.12.4.js"></script>

    <script src="/static/jquery.cookie.js"></script>

    <script>

        $(function(){

            $('#btn').click(function(){

                $.ajax({

                    url:'/login/',

                    type:"POST",

                    data:{'user':'root','pwd':'123'},

                    headers:{'X-CSRFtoken':$.cookie('csrftoken')},

                    success:function(arg){

                    }

                })

            })

        })

    </script>

</body>

</html>

此时可以用Ajax提交可以成功

1.3  Form表单提交与Ajax方法提交的不同之处在于,去不同的地方拿csrf_token

在 Ajax中写headers太麻烦了,可以用setup 对整个页面中所有的Ajax操作做一个配置。

表示在发送ajax之前,会先执行一下那个函数。

xhr是XMLHttpRequest 对象,所有的ajax操作底层用的都是它。

login.html--------示例中有2个Ajax

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

    <form action="/login/" method="POST" >

        {%csrf_token%}

        <input type="text" name="user" placeholder="user"/>

        <input type="text" name="pwd" placeholder="pwd"/>

        <input type="checkbox" name="remember" value="1"/> 10秒免登录

        <input type="submit" value="提交"/>

        <input id="btn1" type="button" value="按钮1"/>

        <input id="btn2" type="button" value="按钮2"/>

    </form>

    <script src="/static/jquery-1.12.4.js"></script>

    <script src="/static/jquery.cookie.js"></script>

    <script>

        $(function(){

            $.ajaxSetup({

               beforeSend:function(xhr,settings){

                   xhr.setRequestHeader('X-CSRFtoken',$.cookie('csrftoken'));

               }

            });

            $('#btn1').click(function(){

                $.ajax({

                    url:'/login/',

                    type:"POST",

                    data:{'user':'root','pwd':'123'},

                    //headers:{'X-CSRFtoken':$.cookie('csrftoken')},

                    success:function(arg){

                    }

                })

            });

            $('#btn2').click(function(){

                $.ajax({

                    url:'/login/',

                    type:"POST",

                    data:{'user':'root','pwd':'123'},

                    //headers:{'X-CSRFtoken':$.cookie('csrftoken')},

                    success:function(arg){

                    }

                })

            })

        })

    </script>

</body>

</html>

运行效果:两个Ajax都可以成功提交

程序摘录

login.html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

    <form action="/login/" method="POST" >

        {%csrf_token%}

        <input type="text" name="user" placeholder="user"/>

        <input type="text" name="pwd" placeholder="pwd"/>

        <input type="checkbox" name="remember" value="1"/> 10秒免登录

        <input type="submit" value="提交"/>

        <input id="btn1" type="button" value="按钮1"/>

        <input id="btn2" type="button" value="按钮2"/>

    </form>

    <script src="/static/jquery-1.12.4.js"></script>

    <script src="/static/jquery.cookie.js"></script>

    <script>

        $(function(){

            $.ajaxSetup({

               beforeSend:function(xhr,settings){

                   xhr.setRequestHeader('X-CSRFtoken',$.cookie('csrftoken'));

               }

            });

            $('#btn1').click(function(){

                $.ajax({

                    url:'/login/',

                    type:"POST",

                    data:{'user':'root','pwd':'123'},

                    //headers:{'X-CSRFtoken':$.cookie('csrftoken')},

                    success:function(arg){

                    }

                })

            });

            $('#btn2').click(function(){

                $.ajax({

                    url:'/login/',

                    type:"POST",

                    data:{'user':'root','pwd':'123'},

                    //headers:{'X-CSRFtoken':$.cookie('csrftoken')},

                    success:function(arg){

                    }

                })

            })

        })

    </script>

</body>

</html>

index.html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

    <h1>欢迎登录:{{username}},{{request.session.username}}</h1>

    <a href="/logout/">注销</a>

</body>

</html>

views.py

from django.shortcuts import render,HttpResponse,redirect

# Create your views here.

def login(request):

    if request.method=='GET':

        return render(request,'login.html')

    elif request.method=='POST':

        user=request.POST.get('user')

        pwd=request.POST.get('pwd')

        if user=='root' and pwd=='123':

            #生成随机字符串,写到浏览器cookie中,保存在session中。在随机字符串对应的字典中设置相关内容...

            # 在session里面设置值

            request.session['username']=user

            request.session['is_login']=True

            if request.POST.get('remember',None)=='1':

                #设置超时时间

                request.session.set_expiry(10)

            return redirect('/index/')

        else:

            return render(request,'login.html')

def index(request):

    #获取当前用户的随机字符串

    #根据随机字符串获取对应的信息

    #去session中获取值,如果登录成功,显示用户名

    if request.session.get('is_login',None):

        #return HttpResponse(request.session['username'])

        return render(request,'index.html',{'username':request.session['username']})

    else:

        return HttpResponse('滚')

def logout(request):

    request.session.clear()

    return redirect('/login/')

urls.py

from django.conf.urls import url

from django.contrib import admin

from app01 import views

urlpatterns = [

    url(r'^admin/', admin.site.urls),

    url(r'^login/$', views.login),

    url(r'^index/$', views.index),

    url(r'^logout/$', views.logout),

]

二,而对于django中设置防跨站请求伪造功能有分为全局和局部。

全局:

  中间件 django.middleware.csrf.CsrfViewMiddleware

局部:

注:from django.views.decorators.csrf import csrf_exempt,csrf_protect

  • @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
  • @csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

csrf_exempt

csrf_protect

settings会得到Ajax中的所有数据

Day22-CSRF跨站请求伪造的更多相关文章

  1. python CSRF跨站请求伪造

    python CSRF跨站请求伪造 <!DOCTYPE html> <html lang="en"> <head> <meta chars ...

  2. Django之CSRF跨站请求伪造(老掉牙的钓鱼网站模拟)

    首先这是一个测试的代码 请先在setting页面进行下面操作 注释完成后,开始模拟钓鱼网站的跨站请求伪造操作: 前端代码: <!DOCTYPE html> <html lang=&q ...

  3. ajax向Django前后端提交请求和CSRF跨站请求伪造

    1.ajax登录示例 urls.py from django.conf.urls import url from django.contrib import admin from app01 impo ...

  4. python 全栈开发,Day87(ajax登录示例,CSRF跨站请求伪造,Django的中间件,自定义分页)

    一.ajax登录示例 新建项目login_ajax 修改urls.py,增加路径 from app01 import views urlpatterns = [ path('admin/', admi ...

  5. 第三百一十五节,Django框架,CSRF跨站请求伪造

    第三百一十五节,Django框架,CSRF跨站请求伪造  全局CSRF 如果要启用防止CSRF跨站请求伪造,就需要在中间件开启CSRF #中间件 MIDDLEWARE = [ 'django.midd ...

  6. Django中的CSRF(跨站请求伪造)

    Django中的CSRF(跨站请求伪造) Django CSRF  什么是CSFR 即跨站请求伪装,就是通常所说的钓鱼网站. 钓鱼网站的页面和正经网站的页面对浏览器来说有什么区别? (页面是怎么来的? ...

  7. Django框架 之 基于Ajax中csrf跨站请求伪造

    Django框架 之 基于Ajax中csrf跨站请求伪造 ajax中csrf跨站请求伪造 方式一 1 2 3 $.ajaxSetup({     data: {csrfmiddlewaretoken: ...

  8. 十三 Django框架,CSRF跨站请求伪造

     全局CSRF 如果要启用防止CSRF跨站请求伪造,就需要在中间件开启CSRF #中间件 MIDDLEWARE = [ 'django.middleware.security.SecurityMidd ...

  9. Web框架之Django_09 重要组件(Django中间件、csrf跨站请求伪造)

    摘要 Django中间件 csrf跨站请求伪造 一.Django中间件: 什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子.它是一个轻量.低级别的插件系统,用于 ...

  10. django上课笔记3-ORM补充-CSRF (跨站请求伪造)

    一.ORM补充 ORM操作三大难点: 正向操作反向操作连表 其它基本操作(包含F Q extra) 性能相关的操作 class UserInfo(models.Model): uid = models ...

随机推荐

  1. iOS 影音新格式 HEIF HEVC

    苹果在 iOS 11 的发布会上,推出了两种新的媒体格式 HEIF HEVC,都是为了保证画质的情况下,大大减少视频.照片的大小. 一.简介 HEVC全称 High Efficiency Video ...

  2. 建表/修改表名/增加删除字段(MySql)

    修改表名:alter table 旧表名 rename 新表名; 删除字段:alter table 表名 drop 字段名; 增加字段:alter table 表名 add 字段名 字段类型 [def ...

  3. java阻塞队列之ArrayBlockingQueue

    在Java的java.util.concurrent包中定义了和多线程并发相关的操作,有许多好用的工具类,今天就来看下阻塞队列.阻塞队列很好的解决了多线程中数据的安全传输问题,其中最典型的例子就是客园 ...

  4. 使用SCSS扩展Bootstrap4

    摘要 因为打算写一个小网站,而个人时间又不是那么充裕,所以没有选择前后端分离的架构. 对于非前后端分离应用来说,Bootstrap应该是目前的最佳前端框架之一了. 而Bootstrap4,是Boots ...

  5. JavaScript 中函数的定义和调用

    3种函数定义方式: 1.使用关键字 function 来声明并定义函数 function myFunction(a, b) { return a * b; } 调用函数: var x = myFunc ...

  6. Python基本编程题

    问题1:仅使用 Python 基本语法,即不使用任何模块,编写 Python 程序计算下列数学表达式的结果并输出,小数点后保留3位.‪‬‪‬‪‬‪‬‪‬‮‬‭‬‪‬‪‬‪‬‪‬‪‬‪‬‮‬‫‬‮‬‪‬ ...

  7. sql server 按月对数据表进行分区

    当某张数据表数据量较大时,我们就需要对该表进行分区处理,以下sql语句,会将数据表按月份,分为12个分区表存储数据,废话不多说,直接上脚本: use [SIT_L_TMS] --开启 XP_CMDSH ...

  8. 【转载】IntelliJ IDEA 2017常用快捷键

    IntelliJ IDEA 是一款致力于提供给开发工程师沉浸式编程体验的IDE工具,所以在其中提供了很多方便高效的快捷键,一旦熟练掌握,整个开发的效率和体验将大大提升.本文就按照笔者自己日常开发时的使 ...

  9. 001 -js对时间日期的排序

    001-JS对时间日期的排序 最近在做公司的项目时间,产品给了一个很简单的页面,让帮忙写一下.首先看一下产品的需求: 需要对该列表进行排序 思路:(1)可以在数据库写sql语句的时间直接一个DESC按 ...

  10. Chrome 鲜为人知的秘籍(内部协议)&&Chrome功能指令大全

    楼主以 Chrome 版本 39.0.2171.95 m 为例,耗费2小时的记录: chrome://accessibility 用于查看浏览器当前访问的标签,打开全局访问模式可以查看:各个标签页面的 ...