csrf 跨站请求伪造

一、简介

django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。

1.1 第1次来访问的时候(get方法),先拿到字符串;下次再来访问的时候(post方法)也必须带着这一串字符串才能成功。CSRF是指提交数据的时候必须通过验证。cookie和session是关于用户名/密码保存的。

第2种方法

form表单提交的时候,加上它就可以了。

这个CSRF字符串不仅在表单里面有了,在cookie里面也有了。

当用form表单提交的时候,把随机字符串和cookie值都发过去了。

1.2 如果用Ajax往后台发数据的时候,只需要把cookie值拿到,放到请求头里面发过去就可以了。

先来看一个没有加cookie值的Ajax请求过程:

login.html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

    <form action="/login/" method="POST" >

        {%csrf_token%}

        <input type="text" name="user" placeholder="user"/>

        <input type="text" name="pwd" placeholder="pwd"/>

        <input type="checkbox" name="remember" value="1"/> 10秒免登录

        <input type="submit" value="提交"/>

        <input id="btn" type="button" value="按钮"/>

    </form>

    <script src="/static/jquery-1.12.4.js"></script>

    <script src="/static/jquery.cookie.js"></script>

    <script>

        $(function(){

            $('#btn').click(function(){

                $.ajax({

                    url:'/login/',

                    type:"POST",

                    data:{'user':'root','pwd':'123'},

                    success:function(arg){

                    }

                })

            })

        })

    </script>

</body>

</html>

此时如果登录的话,则通不过CSRF验证,报403错误。做这个实例的时候,不要在setting里面注释这句

'django.middleware.csrf.CsrfViewMiddleware'

带上随机字符串的话, 才能登录成功。从cookie里面先把随机字符串获取到。获取方法如下:$.cookie('csrftoken')

 但是后台需要通过key去获取这个值,那么这个值对应的key是什么呢?通过打印settings.CSRF_HEADER_NAME可知,

key是HTTP_X_CSRFTOKEN, HTTP_ 是django自动给加上的,所以我们发送的时候,只需要把key设置成 X_CSRFTOKEN就可以了。 

由于请求头里面不能出现下划线,所以最终设置的时候应该写成 X-CSRFTOKEN。

(1) 下面的图说明key是啥样的

(2)下面这个例子来验证HTTP_是Django自动添加的。

(3)理论上我们把请求头设置成X_CSRFTOKEN 就可以了。 但是由于Django有要求,请求头里面不能出现下划线,所以最终我们把请求头设置成X-CSRFTOKEN 的样子。按照官网推荐,建议写成

X-CSRFtoken。

headers:{'X-CSRFtoken':$.cookie('csrftoken')},

login.html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

    <form action="/login/" method="POST" >

        {%csrf_token%}

        <input type="text" name="user" placeholder="user"/>

        <input type="text" name="pwd" placeholder="pwd"/>

        <input type="checkbox" name="remember" value="1"/> 10秒免登录

        <input type="submit" value="提交"/>

        <input id="btn" type="button" value="按钮"/>

    </form>

    <script src="/static/jquery-1.12.4.js"></script>

    <script src="/static/jquery.cookie.js"></script>

    <script>

        $(function(){

            $('#btn').click(function(){

                $.ajax({

                    url:'/login/',

                    type:"POST",

                    data:{'user':'root','pwd':'123'},

                    headers:{'X-CSRFtoken':$.cookie('csrftoken')},

                    success:function(arg){

                    }

                })

            })

        })

    </script>

</body>

</html>

此时可以用Ajax提交可以成功

1.3  Form表单提交与Ajax方法提交的不同之处在于,去不同的地方拿csrf_token

在 Ajax中写headers太麻烦了,可以用setup 对整个页面中所有的Ajax操作做一个配置。

表示在发送ajax之前,会先执行一下那个函数。

xhr是XMLHttpRequest 对象,所有的ajax操作底层用的都是它。

login.html--------示例中有2个Ajax

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

    <form action="/login/" method="POST" >

        {%csrf_token%}

        <input type="text" name="user" placeholder="user"/>

        <input type="text" name="pwd" placeholder="pwd"/>

        <input type="checkbox" name="remember" value="1"/> 10秒免登录

        <input type="submit" value="提交"/>

        <input id="btn1" type="button" value="按钮1"/>

        <input id="btn2" type="button" value="按钮2"/>

    </form>

    <script src="/static/jquery-1.12.4.js"></script>

    <script src="/static/jquery.cookie.js"></script>

    <script>

        $(function(){

            $.ajaxSetup({

               beforeSend:function(xhr,settings){

                   xhr.setRequestHeader('X-CSRFtoken',$.cookie('csrftoken'));

               }

            });

            $('#btn1').click(function(){

                $.ajax({

                    url:'/login/',

                    type:"POST",

                    data:{'user':'root','pwd':'123'},

                    //headers:{'X-CSRFtoken':$.cookie('csrftoken')},

                    success:function(arg){

                    }

                })

            });

            $('#btn2').click(function(){

                $.ajax({

                    url:'/login/',

                    type:"POST",

                    data:{'user':'root','pwd':'123'},

                    //headers:{'X-CSRFtoken':$.cookie('csrftoken')},

                    success:function(arg){

                    }

                })

            })

        })

    </script>

</body>

</html>

运行效果:两个Ajax都可以成功提交

程序摘录

login.html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

    <form action="/login/" method="POST" >

        {%csrf_token%}

        <input type="text" name="user" placeholder="user"/>

        <input type="text" name="pwd" placeholder="pwd"/>

        <input type="checkbox" name="remember" value="1"/> 10秒免登录

        <input type="submit" value="提交"/>

        <input id="btn1" type="button" value="按钮1"/>

        <input id="btn2" type="button" value="按钮2"/>

    </form>

    <script src="/static/jquery-1.12.4.js"></script>

    <script src="/static/jquery.cookie.js"></script>

    <script>

        $(function(){

            $.ajaxSetup({

               beforeSend:function(xhr,settings){

                   xhr.setRequestHeader('X-CSRFtoken',$.cookie('csrftoken'));

               }

            });

            $('#btn1').click(function(){

                $.ajax({

                    url:'/login/',

                    type:"POST",

                    data:{'user':'root','pwd':'123'},

                    //headers:{'X-CSRFtoken':$.cookie('csrftoken')},

                    success:function(arg){

                    }

                })

            });

            $('#btn2').click(function(){

                $.ajax({

                    url:'/login/',

                    type:"POST",

                    data:{'user':'root','pwd':'123'},

                    //headers:{'X-CSRFtoken':$.cookie('csrftoken')},

                    success:function(arg){

                    }

                })

            })

        })

    </script>

</body>

</html>

index.html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

    <h1>欢迎登录:{{username}},{{request.session.username}}</h1>

    <a href="/logout/">注销</a>

</body>

</html>

views.py

from django.shortcuts import render,HttpResponse,redirect

# Create your views here.

def login(request):

    if request.method=='GET':

        return render(request,'login.html')

    elif request.method=='POST':

        user=request.POST.get('user')

        pwd=request.POST.get('pwd')

        if user=='root' and pwd=='123':

            #生成随机字符串,写到浏览器cookie中,保存在session中。在随机字符串对应的字典中设置相关内容...

            # 在session里面设置值

            request.session['username']=user

            request.session['is_login']=True

            if request.POST.get('remember',None)=='1':

                #设置超时时间

                request.session.set_expiry(10)

            return redirect('/index/')

        else:

            return render(request,'login.html')

def index(request):

    #获取当前用户的随机字符串

    #根据随机字符串获取对应的信息

    #去session中获取值,如果登录成功,显示用户名

    if request.session.get('is_login',None):

        #return HttpResponse(request.session['username'])

        return render(request,'index.html',{'username':request.session['username']})

    else:

        return HttpResponse('滚')

def logout(request):

    request.session.clear()

    return redirect('/login/')

urls.py

from django.conf.urls import url

from django.contrib import admin

from app01 import views

urlpatterns = [

    url(r'^admin/', admin.site.urls),

    url(r'^login/$', views.login),

    url(r'^index/$', views.index),

    url(r'^logout/$', views.logout),

]

二,而对于django中设置防跨站请求伪造功能有分为全局和局部。

全局:

  中间件 django.middleware.csrf.CsrfViewMiddleware

局部:

注:from django.views.decorators.csrf import csrf_exempt,csrf_protect

  • @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
  • @csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

csrf_exempt

csrf_protect

settings会得到Ajax中的所有数据

Day22-CSRF跨站请求伪造的更多相关文章

  1. python CSRF跨站请求伪造

    python CSRF跨站请求伪造 <!DOCTYPE html> <html lang="en"> <head> <meta chars ...

  2. Django之CSRF跨站请求伪造(老掉牙的钓鱼网站模拟)

    首先这是一个测试的代码 请先在setting页面进行下面操作 注释完成后,开始模拟钓鱼网站的跨站请求伪造操作: 前端代码: <!DOCTYPE html> <html lang=&q ...

  3. ajax向Django前后端提交请求和CSRF跨站请求伪造

    1.ajax登录示例 urls.py from django.conf.urls import url from django.contrib import admin from app01 impo ...

  4. python 全栈开发,Day87(ajax登录示例,CSRF跨站请求伪造,Django的中间件,自定义分页)

    一.ajax登录示例 新建项目login_ajax 修改urls.py,增加路径 from app01 import views urlpatterns = [ path('admin/', admi ...

  5. 第三百一十五节,Django框架,CSRF跨站请求伪造

    第三百一十五节,Django框架,CSRF跨站请求伪造  全局CSRF 如果要启用防止CSRF跨站请求伪造,就需要在中间件开启CSRF #中间件 MIDDLEWARE = [ 'django.midd ...

  6. Django中的CSRF(跨站请求伪造)

    Django中的CSRF(跨站请求伪造) Django CSRF  什么是CSFR 即跨站请求伪装,就是通常所说的钓鱼网站. 钓鱼网站的页面和正经网站的页面对浏览器来说有什么区别? (页面是怎么来的? ...

  7. Django框架 之 基于Ajax中csrf跨站请求伪造

    Django框架 之 基于Ajax中csrf跨站请求伪造 ajax中csrf跨站请求伪造 方式一 1 2 3 $.ajaxSetup({     data: {csrfmiddlewaretoken: ...

  8. 十三 Django框架,CSRF跨站请求伪造

     全局CSRF 如果要启用防止CSRF跨站请求伪造,就需要在中间件开启CSRF #中间件 MIDDLEWARE = [ 'django.middleware.security.SecurityMidd ...

  9. Web框架之Django_09 重要组件(Django中间件、csrf跨站请求伪造)

    摘要 Django中间件 csrf跨站请求伪造 一.Django中间件: 什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子.它是一个轻量.低级别的插件系统,用于 ...

  10. django上课笔记3-ORM补充-CSRF (跨站请求伪造)

    一.ORM补充 ORM操作三大难点: 正向操作反向操作连表 其它基本操作(包含F Q extra) 性能相关的操作 class UserInfo(models.Model): uid = models ...

随机推荐

  1. day 10 字典dict

    添加 xxx[新的key] = value 删除 del xx[key] 修改 xxx[已存在的key] = new_value 查询 xxx.get(key) 1. dict 字典 #### lis ...

  2. springboot 中根据数据库表生成所有表的model,mapper和xml文件

    参考文件:https://blog.csdn.net/shenmoren6/article/details/80337662?utm_source=blogxgwz1 详细信息:https://blo ...

  3. cogs696 longest prefix

    cogs696 longest prefix 原题链接 IOI1996原题? 其实这题我不会. map+string+手动氧气大法好 //就是这么皮(滑稽 Code // It is made by ...

  4. 洛谷P2831 愤怒的小鸟

    洛谷P2831 愤怒的小鸟 原题链接 题解 首先简单数学公式送上. \(ax_1^2+bx_1=y_1\) \(ax_2^2+bx_2=y_2\) \(ax_1^2x_2+bx_1x_2=y_1x_2 ...

  5. [bzoj1564]二叉查找树

    题目描述 已知一棵特殊的二叉查找树.根据定义,该二叉查找树中每个结点的数据值都比它左儿子结点的数据值大,而比它右儿子结点的数据值小. 另一方面,这棵查找树中每个结点都有一个权值,每个结点的权值都比它的 ...

  6. Entity Framework for Oracle 基本配置

    1.需要安装ODAC 如果不安装ODAC,在数据源连接的配置中,看不到Oracle的选项 我下载安装的组件是32-bit Oracle Data Access Components (ODAC)  w ...

  7. Scrapy模拟登录GitHub

    d: 进入D盘 scrapy startproject GitHub 创建项目 scrapy genspider github github.com 创建爬虫 编辑github.py: # -*- c ...

  8. 算法工程师进化-NLP之主题模型

    1 引言 主题模型是文本挖掘的重要工具,近年来在学术界和工业届都获得了非常多的关注.学术界的工作主要集中在建模层面,即提出各种各样的主题模型来适应不同的场景,因此缺乏指导主题模型在工业场景落地的资源和 ...

  9. JAVA学习笔记--迭代器

    迭代器(Iterator)是一种设计模式.它是一个对象,它的工作是遍历并选择序列中的对象,而客户端程序员不必知道或关心该序列底层的结构.创建迭代器的代价小,因而迭代器通常被称为轻量级对象. 一.Ite ...

  10. Apriori 获取关联规则实现

    前言 自己的一个Apriori 获取关联规则的python实现.具体原理不讲,代码添加了说明,还是很好理解的. 数据预处理 #最小置信度 min_conf = 0.5 #最小支持度 min_sup = ...