django框架CSRF防护原理与用法分析
更新时间:2019年07月22日 11:56:23 作者:笑-笑-生
这篇文章主要介绍了django框架CSRF防护原理与用法,结合实例形式分析了Django框架CSRF防护的概念、原理、使用方法及相关操作注意事项,需要的朋友可以参考下
本文实例讲述了django框架CSRF防护。分享给大家供大家参考,具体如下:
CSRF防护
一、什么是CSRF?
CSRF: Cross-site request forgery,跨站请求伪造
用户登录了正常的网站A, 然后再访问某恶意网站,该恶意网站上有一个指向网站A的链接,那么当用户点击该链接时,则恶意网站能成功向网站A发起一次请求,实际这个请求并不是用户想发的,而是伪造的,而网站A并不知道。
攻击者利用了你的身份,以你的名义发送恶意请求,比如:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账等。
如果想防止CSRF,首先是重要的信息传递都采用POST方式而不是GET方式,接下来就说POST请求的攻击方式以及在Django中的避免
二、CSRF攻击演示
步骤1:登录成功后进入发帖界面,进行发帖(使用post请求发帖,测试时先关闭csrf中间件)
步骤2:限制登录成功后才能发帖
- 可通过session保存登录成功的用户名
- 判断session中是否有保存用户名,有才允许发帖
步骤3:CSRF攻击演示
三、CSRF防护
重要信息如金额、积分等的获取,采用POST请求
开启CSRF中间件(默认就是开启的)
# 项目下的setting.py MIDDLEWARE_CLASSES = ( ... # 开启csrf中间件(默认是开启的) 'django.middleware.csrf.CsrfViewMiddleware', ... )
表单post提交数据时加上 {% csrf_token %} 标签
四、防御原理【了解】
- 服务器在渲染模板文件时,会在html页面中生成一个名字叫做 csrfmiddlewaretoken 的隐藏域。
- 服务器会让浏览器保存一个名字为 csrftoken 的cookie信息
- post提交数据时,两个值都会发给服务器,服务器进行比对,如果一样,则csrf验证通过,否则提示403 Forbidden
希望本文所述对大家基于Django框架的Python程序设计有所帮助。
相关文章
这篇文章主要介绍了python多进程中的生产者和消费者模型,生产者是指生产数据的任务,消费者是指消费数据的任务。当生产者的生产能力远大于消费者的消费能力,生产者就需要等消费者消费完才能继续生产新的数据2023-03-03
在本篇内容里小编给大家整理了关于python中二分查找法的实现方法,有需要的朋友们可以学习下。2020-12-12
本篇文章主要介绍python 性能提升的几种方法,并附有代码参考示例,有需要的小伙伴可以参考下2016-07-07
这篇文章主要介绍了Python3自定义json逐层解析器代码,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2020-05-05
这篇文章主要介绍了Python 神操作,还原已撤回的微信消息功能,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下2019-06-06
Excel中的查找替换是一个非常实用的功能,能够帮助用户快速完成大量数据的整理和处理工作,避免手动逐一修改数据的麻烦,提高工作效率,所以本文给大家介绍了Python实现快速查找并替换Excel中的数据,需要的朋友可以参考下2024-06-06
这篇文章主要介绍了使用python实现简易五子棋小游戏,文中提供了三种实现方式,解决思路和部分实现代码,感兴趣的朋友可以参考下2023-03-03
今天小编就为大家分享一篇在Pandas中给多层索引降级的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2018-11-11
python利用urllib实现爬取京东网站商品图片的爬虫实例
下面小编就为大家带来一篇python利用urllib实现爬取京东网站商品图片的爬虫实例。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧2017-08-08
这篇文章主要介绍的是如何利用Python 制作二维码,文章从介绍python 二维码制作的第三方库QRCode 和MyQR展开话题,需要的小伙伴可以参考一下文章的具体内容2021-09-09
最新评论