2. 程式人生 > 其它 >csrf跨站請求偽造;auth模組

csrf跨站請求偽造;auth模組

阿新 發佈:2022-05-26

csrf跨站請求偽造

針對csrf相關的校驗有很多種方式,django只是提供了一些而已

form表單

前提必須是前後端整合,能夠使用模板語法

<form action="" method="post">
    {% csrf_token %}
    <p>當前賬戶:<input type="text" name="current_user"></p>
    <p>目標賬戶:<input type="text" name="target_user"></p>
    <p>轉賬金額:<input type="text" name="money"></p>
    <input type="submit">
</form>

ajax請求

方式1

頁面任意位置先寫{% csrf_token %} 之後獲取資料 

方式2

模板語法直接獲取

js指令碼自動處理

只能適用於ajax提交,form表單還是需要額外指定,直接cv拷貝

function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');

function csrfSafeMethod(method) {
  // these HTTP methods do not require CSRF protection
  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

$.ajaxSetup({
  beforeSend: function (xhr, settings) {
    if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
      xhr.setRequestHeader("X-CSRFToken", csrftoken);
    }
  }
});

csrf相關裝飾器

csrf_exempt:忽略csrf校驗;csrf_protect:開啟csrf校驗

from django.views.decorators.csrf import csrf_exempt,csrf_protect

針對FBV

# @csrf_exempt
# @csrf_protect
def login(request):
    return render(request, 'login.html')

針對CBV

from django import views
from django.utils.decorators import method_decorator

# @method_decorator(csrf_protect, name='post') # 可以校驗
# @method_decorator(csrf_exempt, name='post')
class MyView(views.View):
    # @method_decorator(csrf_protect) # 可以校驗
    def dispatch(self, request, *args, **kwargs):
        super(MyView, self).dispatch(request, *args, **kwargs)
    
    # @method_decorator(csrf_protect) # 可以校驗
    # @method_decorator(csrf_exempt) # 無效
    def post(self, request):
        return HttpResponse('from MyView post')

csrf_protect:三種CBV新增裝飾器的方式都可以

csrf_exempt:只有一種方式可以生效(重寫的dispatch方法)

@method_decorator(csrf_exempt)
    def dispatch(self, request, *args, **kwargs):
        return super(MyView, self).dispatch(request, *args, **kwargs)

auth模組

概念

auth模組是django提供給你快速完成使用者相關功能的模組

django也配套提供了一張'使用者表':執行資料庫遷移命令之後預設產生的auth_user

django自帶的admin後臺管理使用者登入參考的就是auth_user表

建立admin後臺管理員使用者:createsuperuser

自動對使用者密碼進行加密處理並儲存

模組方法

from django.contrib import auth
  • 驗證使用者名稱和密碼是否正確 
    auth.authenticate()
  • 儲存使用者登入狀態 
    auth.login()
def lg(request):
    if request.method == 'POST':
        username = request.POST.get('username')
        password = request.POST.get('password')
        is_user_obj = auth.authenticate(request, username=username, password=password)
        # res = auth.authenticate(request, username=username, password=password)
        # print(res)  # 校驗正確返回的是使用者物件,錯誤返回的是None
        if is_user_obj:
            # 記錄使用者登入狀態
            auth.login(request, is_user_obj)
    return render(request, 'lg.html')
  • 獲取當前使用者物件 
    request.user # session刪除掉會返回匿名使用者
  • 判斷當前使用者是否登入 
    request.user.is_authenticated() # 返回布林值
  • 校驗登入裝飾器 
    from django.contrib.auth.decorators import login_required
    # 區域性配置
    @login_required(login_url='/lg/')  
    # 全域性配置
    @login_required  
    LOGIN_URL = '/lg/'  # 需要在配置檔案中新增配置
  • 修改密碼 
     if request.method == 'POST':
        old_password = request.POST.get('old_password')
        new_password = request.POST.get('new_password')
        # 先比對原密碼是否正確
        is_right = request.user.check_password(old_password)
        if is_right:
            # 修改密碼
            request.user.set_password(new_password) # 臨時修改密碼
            # 儲存資料
            request.user.save() # 修改操作同步到資料庫
  • 登出登入 
    auth.logout(request)
  • 註冊使用者 
    from django.contrib.auth.models import User
def register(request):
    # User.objects.create(username='chen', password='111') # 不能使用create,密碼不會加密
    # User.objects.create_user(username='jame', password='111')
    User.objects.create_superuser(username='kurry', password='1111', email='[email protected]')
    return HttpResponse('註冊成功')

擴充套件表字段

方式1

編寫一對一表關係(瞭解)

方式2

類繼承(推薦)

from django.contrib.auth.models import AbstractUser
class Users(AbstractUser):
    # 編寫AbstractUser類中沒有的欄位 不能衝突!!!
    phone = models.BigIntegerField()
    addr = models.CharField(max_length=32)

配置檔案

AUTH_USER_MODEL = 'app01.Users'

注意

類繼承之後,需要重新執行資料庫遷移命令,並且庫裡面是第一次操作才可以

auth模組所有的方法都可以直接在自定義模型類上面使用

自動切換參照表

相關推薦

csrf請求偽造auth模組

csrf請求偽造 針對csrf相關的校驗有很多種方式,django只是提供了一些而已

CSRF 請求偽造學習筆記

參考文章: 漏洞挖掘之CSRF CSRF花式繞過Referer技巧 What-是什麼 CSRF(Cross-site request forgery)請求偽造。攻擊者通過構造特殊連結或者頁面,盜用使用者身份,以合法名義完成一些非法勾當。

CSRF 請求偽造攻擊

CSRF請求偽造攻擊 CSRF 原理   下圖大概描述了 CSRF 攻擊的原理,可以理解為有一個小偷在你配鑰匙的地方得到了你家的鑰匙,然後拿著要是去你家想偷什麼偷什麼。

DVWA靶場——CSRF(請求偽造)

概述 Cross Site Request Forgery簡稱“CSRF”,中文名為跨站請求偽造。在CSRF的攻擊場景中攻擊者會偽造一個請求(這個請求一般是一個連結),然後欺騙目標使用者進行點選,使用者一旦點選了這個請求,整個攻

Django框架之十 中介軟體 csrf請求偽造

中介軟體 一、什麼是中介軟體 求的時候需要先經過中介軟體才能到達django後端(urls,views,templates,models)

CSRF請求偽造

CSRF 介紹 CSRF,是請求偽造(Cross Site Request Forgery)的縮寫,是一種劫持受信任使用者向伺服器傳送非預期請求的攻擊方式。

django框架之自定義中介軟體及csrf請求偽造等相關內容-75

今日內容 1 django的session原理流程 2 自定義中介軟體 1 自定義步驟:-寫一個類,繼承MiddlewareMixin-裡面寫方法process_request(請求來了,一定會觸發它的執行)-在setting中配置(注意,放在前和放在後)MIDD

CSRF 請求偽造 漏洞

0x00 CSRF 漏洞概述 跨站請求偽造(Cross- site request forgery, CSRF)是一種攻擊,它強制終端使用者在當前對其進行身份驗證後的 web 應用程式上執行非本意的操作。CSRF 攻擊的著重點在偽造更改狀態的請求 ,而不

Django csrf請求偽造,校驗,CBV忽略與允許csrf校驗

csrf請求偽造 釣魚網站,搭建一個網站與正規網站一模一樣的介面,使用者進入到我們的網站中,給指定使用者轉賬,匯款確實提交到銀行,但是收款人確實我們自己定義的人。

Django csrf請求 csrf的處理 Auth模組

內容概要 csrf請求 csrf的處理 Auth模組 擴充套件auth_user表字段 內容詳細 csrf請求

Jenkins關閉請求偽造保護(CSRF

技術標籤:DevOpsjenkinsdevops 一、簡介 Jenkins版本自2.204.6以來的重大變更有:刪除禁用 CSRF 保護的功能。在高版本的Jenkins中預設啟用CSRF。 在內網進行持續整合(CI)時,若未增加相關認證配置情況下,開啟

請求偽造--CSRF

CSRF--請求偽造 與XSS區別 1.XSS利用站點內的信任使用者,盜取cookie 2.CSRF偽裝成信任使用者請求網站

Django中如何防範CSRF站點請求偽造攻擊

CSRF概念 CSRF跨站點請求偽造(Cross—Site Request Forgery)。 攻擊者盜用了你的身份,以你的名義傳送惡意請求,對伺服器來說這個請求是完全合法的,但是卻完成了攻擊者所期望的一個操作,比如以你的名義傳送郵

請求偽造(SSRF)

SSRF漏洞簡介 SSRF(服務端請求偽造)是一種利用漏洞未在服務端發起請求。一般情況下,SSRF攻擊的目標是從外網無法訪問的內部系統。

[Pikachu 靶場] 3-請求偽造

CSRF跨站請求偽造 0x00 CSRF(Cross-Site Request Forgery,跨站請求偽造) 在 CSRF 的攻擊場景中,攻擊者偽造請求(一般為連結),然後欺騙目標點選。受害者一旦點選了這個連結,攻擊就完成了——因此 CSRF

Django中介軟體、csrf請求csrf裝飾器、基於django中介軟體學習程式設計思想

目錄 django中介軟體 中介軟體介紹什麼是中介軟體? 自定義中介軟體 準備工作 process_request(掌握)

2022.5.24 django操作cookie和session,django中介軟體,asrf請求偽造

2022.5.24 django操作cookie和session,django中介軟體,asrf請求偽造 django操作cookie補充

CSRF 指令碼請求偽造

CSRF 1.簡介   CSRF是指跨站請求偽造。可以這樣理解,攻擊盜用目標身份,以目標的名義進行違法操作。與XSS不同的是,CSRF不用獲取目標的cookie,而是直接利用目標使用者當前會話資訊,向伺服器傳送非法請求,完成自

spring security中的csrf防禦原理(請求偽造)

什麼是csrfcsrf又稱請求偽造,攻擊方通過偽造使用者請求訪問受信任站點。CSRF這種攻擊方式在2000年已經被國外的安全人員提出,但在國內,直到06年才開始被關注,08年,國內外的多個大型社群和互動網站分別爆出

SpringSecurity框架下實現CSRF攻擊防禦的方法

一、什麼是CSRF 很多朋友在學習Spring Security的時候,會將CORS(資源共享)和CSRF(請求偽造)弄混,以為二者是一回事。其實不是,先解釋一下: