CSRF(跨站请求伪造)是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。

  这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。

    例如,一个用户刚在某个网站登录过,认证信息记录在浏览器中,此时不小心点进了一个钓鱼网站,钓鱼网站仿照用户真正登录的网页布局,一旦用户执行涉及财产的操作,那么他填写完表单后发生给了真正的网站。其实真正的网站接收到的是钓鱼网站提前设置好的数据。那么这次攻击的目的就实现了。

  django为了防止此类事件,便内置了csrf校验的中间件。

CSRF中间件流程  

  class CsrfViewMiddleware(MiddlewareMixin):
    
    def _accept(self, request):
      request.csrf_processing_done = True
      return None
    def _reject(self, request, reason):
      response = _get_failure_view()(request, reason=reason)
      log_response(
          'Forbidden (%s): %s', reason, request.path,
          response=response,
          request=request,
          logger=logger,
      )
      return response
    def _get_token(self, request)
    def _set_token(self, request, response)
    def process_request(self, request)
    def process_view(self, request, callback, callback_args, callback_kwargs)
    def process_response(self, request, response)

  从上述代码段中,不难看出CSRF中间件下共有7个方法。

  其中前四个属于私有方法,后三个是中间件的方法。

  1、process_request

    一个请求到达视图函数前首先要经过中间件的process_request方法,所以从这个方法入手。

    def process_request(self, request):
        csrf_token = self._get_token(request)
        if csrf_token is not None:
            # Use same token next time.
            request.META['CSRF_COOKIE'] = csrf_token

    该方法主要功能:

      首先,需要通过_get_token方法从request对象中获取csrf_token;

      然后,判断当获取到的csrf_token不为空时,将其赋值给META字典中的CSRF_COOKIE字段 。

    _get_token方法:

    def _get_token(self, request):
        if settings.CSRF_USE_SESSIONS:
            try:
                return request.session.get(CSRF_SESSION_KEY)
            except AttributeError:
                raise ImproperlyConfigured(
                    'CSRF_USE_SESSIONS is enabled, but request.session is not '
                    'set. SessionMiddleware must appear before CsrfViewMiddleware '
                    'in MIDDLEWARE%s.' % ('_CLASSES' if settings.MIDDLEWARE is None else '')
                )
        else:
            try:
                cookie_token = request.COOKIES[settings.CSRF_COOKIE_NAME]
            except KeyError:
                return None

            csrf_token = _sanitize_token(cookie_token)
            if csrf_token != cookie_token:
                # Cookie token needed to be replaced;
                # the cookie needs to be reset.
                request.csrf_cookie_needs_reset = True
            return csrf_token

      a、先判断csrf的值是用什么方式存储,以便获取该值(默认是COOKIE存储,具体可见django的全局设置内的变量)

        from django.conf import global_settings
        以下变量出现在global_settings文件中
        # Settings for CSRF cookie.
        CSRF_COOKIE_NAME = 'csrftoken'
        CSRF_COOKIE_AGE = 60 * 60 * 24 * 7 * 52
        CSRF_COOKIE_DOMAIN = None
        CSRF_COOKIE_PATH = '/'
        CSRF_COOKIE_SECURE = False
        CSRF_COOKIE_HTTPONLY = False
        CSRF_COOKIE_SAMESITE = 'Lax'
        CSRF_HEADER_NAME = 'HTTP_X_CSRFTOKEN'
        CSRF_TRUSTED_ORIGINS = []
        CSRF_USE_SESSIONS = False

      b、从cookie中根据键的名称取出csrf_token的值

      c、然后将cookie中取出的csrf_token传入_sanitize_token函数进行验证其是否合格,满足值的长度为64即合格,将该值原样返回

        def _sanitize_token(token):
            # Allow only ASCII alphanumerics
            if re.search('[^a-zA-Z0-9]', token):
                return _get_new_csrf_token()
            elif len(token) == CSRF_TOKEN_LENGTH:
                return token
            elif len(token) == CSRF_SECRET_LENGTH:
                return _salt_cipher_secret(token)
            return _get_new_csrf_token()

      d、如果经过验证后得到的csrftoken和原先的值不一样时,在request对象上新增一个属性,表示需要重置csrftoken的值

      e、如果一切正常,则将获取到的csrftoken返回给process_request方法

  2、process_view

    该方法位于process_request之后,且视图函数之前,所以接下来由它来处理request对象

    def process_view(self, request, callback, callback_args, callback_kwargs):
        if getattr(request, 'csrf_processing_done', False):
            return None

        if getattr(callback, 'csrf_exempt', False):
            return None

        # Assume that anything not defined as 'safe' by RFC7231 needs protection
        if request.method not in ('GET', 'HEAD', 'OPTIONS', 'TRACE'):
             #内部代码块执行校验相关操作
        return self._accept(request)

    a、根据反射机制判断 request对象中是否有csrf_processing_done属性,有的话就不作csrf验证

      同理,判断对应的视图函数是否有csrf_exempt属性,有的话就不作csrf验证

    b、如果本次请求的请求方式是

        GET、HEAD、OPTIONS、TRACE中的一个,则接收本次请求,不需要csrf验证

    c、如果本次请求的请求方式不再上述方式内,则进行csrf验证

      

      if request.method not in ('GET', 'HEAD', 'OPTIONS', 'TRACE'):
          if getattr(request, '_dont_enforce_csrf_checks', False):
              return self._accept(request)
  
          if request.is_secure():
              #当请求协议为HTTPS时的一些操作

          csrf_token = request.META.get('CSRF_COOKIE')
          if csrf_token is None:
              return self._reject(request, REASON_NO_CSRF_COOKIE)

          # Check non-cookie token for match.
          request_csrf_token = ""
          if request.method == "POST":
              try:
                  request_csrf_token = request.POST.get('csrfmiddlewaretoken', '')
              except IOError:
                  pass

          if request_csrf_token == "":
              request_csrf_token = request.META.get(settings.CSRF_HEADER_NAME, '')

          request_csrf_token = _sanitize_token(request_csrf_token)
          if not _compare_salted_tokens(request_csrf_token, csrf_token):
              return self._reject(request, REASON_BAD_TOKEN)
        return self._accept(request)

      1、排除掉接收本次请求的情况。

      2、然后将csrftoken从META字典中取出(process_request方法内将csrftoken存入该字典,这个csrftoken来自于cookie)

      3、判断csrftoken是否存在字典中,没有则拒绝本次请求

      4、然后从POST提交的数据中获取csrftoken,或者从请求头中获取csrftoken

      5、步骤4中获取到的csrftoken经过验证后,与cookie中存的csrftoken对比,如果不相等则拒绝本次请求。

        反之,接收该请求

  3、总结:

    django的csrf校验,主要是:

      a、从cookie中获取csrftoken

      b、从POST发来的数据中获取csrftoken或者从请求头中获取key为“x-csrftoken”对应的csrftoken

      然后比较a和b获取到的值是否一致

关于CSRF校验的装饰器

  from django.views.decorators.csrf import csrf_exempt, csrf_protect, ensure_csrf_cookie

  1、csrf_exempt:加上该装饰器的视图函数,对该视图发起的请求不需要进行csrf校验,因为它会给视图函数加上csrd_exempt属性

    wrapped_view.csrf_exempt = True

  2、csrf_protect:加上该装饰器的视图函数,必须进行csrf校验

  3、ensure_csrf_cookie:加上该装饰器的视图函数,对应的页面中一定有存储csrf的cookie信息

  补充:

    cookie中必须有csrftoken的键值对时,才能够进行csrftoken校验

    a、在页面中使用{% csrf_token%}生成隐藏的csrfmiddlewaretoken的input标签的同时,会设置cookie中的csrftoken键值对

    b、给需要的视图函数加上ensure_csrf_cookie装饰器

												


											
django—csrf中间件校验流程的更多相关文章
	

    
								
  1. 30.Django CSRF 中间件
		
    CSRF 1.概述 CSRF(Cross Site Request Forgery)跨站点伪造请求,举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用 ...
    
		
    2. 
						
  2. 7.Django CSRF 中间件
		
    CSRF 1.概述 CSRF(Cross Site Request Forgery)跨站点伪造请求,举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用 ...
    
		
    3. 
						
  3. django  csrf 中间件
		
    CSRF和中间件 CSRF使用 说明csrf存在cookie中 全局使用 MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', ...
    
		
    4. 
						
  4. Django对中间件的调用思想、csrf中间件详细介绍、Django settings源码剖析、Django的Auth模块
		
    目录 使用Django对中间件的调用思想完成自己的功能 功能要求 importlib模块介绍 功能的实现 csrf中间件详细介绍 跨站请求伪造 Django csrf中间件 form表单 ajax c ...
    
		
    5. 
						
  5. django csrf 处理简介
		
    CSRF 是什么 CSRF 即跨站请求伪造,在用户不知情的情况下向有漏洞的网站发送请求.例如有正常网站A,恶意网站B, 用户若对A B 两个网站都有访问,B 可能伪造请求到 A,比如提交表单.至于具体 ...
    
		
    6. 
						
  6. Django的csrf中间件
		
    csrf中间件 ​ csrf 跨站请求伪造 ​ 补充两个装饰器: ​ from django.views.decorators.csrf import csrf_exempt,csrf_protect ...
    
		
    7. 
						
  7. csrf 跨站请求伪造相关以及django的中间件
		
    django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware来完成. 1.django中常用的中间件? - proces ...
    
		
    8. 
						
  8. python 全栈开发,Day87(ajax登录示例,CSRF跨站请求伪造,Django的中间件,自定义分页)
		
    一.ajax登录示例 新建项目login_ajax 修改urls.py,增加路径 from app01 import views urlpatterns = [ path('admin/', admi ...
    
		
    9. 
						
  9. Django 中CSRF中间件 'django.middleware.csrf.CsrfViewMiddleware',
		
    1.Django中CSRF中间件的工作原理及form表单提交需要添加{% csrf_token %}防止出现403错误 CSRF # 表示django全局发送post请求均需要字符串验证功能:防止跨站 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. tagCould3d 移动端优化版
			
    针对https://github.com/bitjjj/JS-3D-TagCloud这个版本的做了移动端性能优化(使用transform做偏移及缩放,优化帧).基本原理一致. class TagCou ...
    
			
    2. 
						
  2. Linux里隐藏的计算器,你知道它的奥秘吗?
			
    Linux里隐藏的计算器,你知道它的奥秘吗? 大家都知道,windows下有个计算器工具,我们在工作生活中经常使用到它.但是,你可知Linux下也同样有个计算器吗? 当然,良许说的是命令行下的计算器工 ...
    
			
    3. 
						
  3. 立下flag!
			
    从今日(2020年6月29日)开始,直到两个月的暑假结束2020年8月31日,每天vp一场div3,至少要ac4道题目.
    
			
    4. 
						
  4. 你还不会ES的CUD吗?
			
    近端时间在搬砖过程中对es进行了操作,但是对es查询文档不熟悉,所以这两周都在研究es,简略看了<Elasticsearch权威指南>,摸摸鱼又是一天. es是一款基于Lucene的实时分 ...
    
			
    5. 
						
  5. MyBatis学习(三)日志输出环境配置
			
    一.编写日志输出环境配置文件 在开发过程中,最重要的就是在控制台查看程序输出的日志信息,在这里我们选择使用 log4j 工具来输出: 准备工作:将[MyBatis]文件夹下[lib]中的 log4j  ...
    
			
    6. 
						
  6. python协程(yield、asyncio标准库、gevent第三方)、异步的实现
			
    引言 同步:不同程序单元为了完成某个任务,在执行过程中需靠某种通信方式以协调一致,称这些程序单元是同步执行的. 例如购物系统中更新商品库存,需要用"行锁"作为通信信号,让不同的更新 ...
    
			
    7. 
						
  7. 第一次的博客-简单的Markdown语法
			
    第一次开通博客 从网上寻找了许多写博客的方法 我觉得对于我来说还是使用 Markdowm 比较容易一些 用我的第一篇博客来记一下一些比较简单常用的Markdown语法 本文参考来源Markdown语法 ...
    
			
    8. 
						
  8. Go-注释
			
    什么是注释? 注释是给开发人员看的,目的是降低开发人员阅读代码的时间成本和代码阅读困难程度 Go-注释内容 1. 包注释,位于某个包下Go程序文件的顶部 2. 函数注释,位于Go函数的头部 3. 代码 ...
    
			
    9. 
						
  9. Go 数组&切片
			
    数组相关 在Go语言中,数组是一种容器相关的数据类型,用于存放多种相同类型的数据. 数组定义 在定义数组时,必须定义数组的类型以及长度,数组一经定义不可进行改变. 同时,数组的长度是按照元素个数进行统 ...
    
			
    10. 
						
  10. 独立看第一个C++程序到最终结果log----2019-04-16
			
    (如果一个人夸你,千万别相信,一个人真优秀是不需要说出来的,所以别人夸你的时候也是自己最松懈的时候,千万不能飘,只能说明自己不是很差而已,世界上优秀的人很多,一直优秀到最后的人却是凤毛菱角. 如果一个 ...
    
			
    11.