2. 程式人生 > 其它 >為什麼Git遠端倉庫中要配置公鑰?

為什麼Git遠端倉庫中要配置公鑰?

阿新 發佈:2022-12-07
目錄

csrf跨站請求偽造

1、前戲

"""
釣魚網站
	搭建一個跟正規網站一摸一樣的介面(中國銀行)
	使用者進入到我們的網站,使用者給某人打錢,
	使用者打錢操作確確實實是提交給了中國銀行的系統,使用者的錢也確確實實減少了,但是唯一不同是打錢的賬戶不是使用者想要打的賬戶,變成了另一個賬戶

內部本質:
	在釣魚網站的頁面,針對對方賬戶,只給使用者提供一個沒有name屬性的input框,然後我們再內部隱藏一個已經寫好name和value的input框,
		
"""
  • 真正的網站埠:8000

http://127.0.0.1:8000

# 註釋掉csrf
 'django.middleware.csrf.CsrfViewMiddleware',

<body>
<h1>中國銀行</h1>
<form action="" method="post">
    <p>username:<input type="text" name="username"></p>
    <p>target_user:<input type="text" name="target_user"></p>
    <p>money:<input type="text" name="money"></p>
    <input type="submit">
</form>
</body>

 
# views.py
def transfer(request):
    if request.method == 'POST':
        username = request.POST.get('username')
        target_user = request.POST.get('target_user')
        money = request.POST.get('money')
        print('%s給%s轉了%s元' % (username, target_user, money))

    return render(request, 'transfer.html')

# urls.py
path('transfer/',views.transfer)
  • 釣魚網站模擬埠:8001
#不用註釋csfr

<body>
<h1>phishing site</h1>
<form action="http://127.0.0.1:8000/transfer/" method="post">
    <p>username:<input type="text" name="username"></p>
    <p>target_user:<input type="text"></p>
    <input type="text" name="target_user" value="zhao" style="display: none">
    <p>money:<input type="text" name="money"></p>
    <input type="submit">
</form>
</body>

#views.py
def transfer(request):
    return render(request,'transfer.html')

# urls.py
path('transfer/',views.transfer)

2、csrf校驗

如何規避上述問題:
csrf跨站請求偽造
網站再給使用者返回一個提交資料功能的頁面的時候會給這個頁面加一個唯一標識
當這個頁面朝後端發post請求的時候,後端會先校驗唯一標識,如果唯一標識不對,直接拒絕(403 forbiden),如果成功則正常執行

2.1、from表單如何符合校驗

#開啟配置檔案裡的csrf中介軟體

<form action="" method="post">
    {% csrf_token %}
    <p>username:<input type="text" name="username"></p>
    <p>target_user:<input type="text" name="target_user"></p>
    <p>money:<input type="text" name="money"></p>
    <input type="submit">
</form>

再次傳送請求

釣魚網站再次傳送請求

2.2、ajax如何符合校驗

不論是ajax還是誰,只要是向我Django提交post請求的資料,都必須校驗csrf_token來防偽跨站請求

  • 方式一

通過獲取隱藏的input標籤中的csrfmiddlewaretoken值,放置在data中傳送

</head>
<body>
<h1>中國銀行</h1>
<form action="" method="post">
    {% csrf_token %}
    <p>username:<input type="text" name="username"></p>
    <p>target_user:<input type="text" name="target_user"></p>
    <p>money:<input type="text" name="money"></p>
    <input type="submit">
</form>
<button id="d1">ajax請求</button>
</body>


<script>
    $('#d1').on('click', function () {
        $.ajax({
            url: '',
            type: 'post',
            //第一種:利用標籤查詢獲取頁面上的隨機字串
            data: {'username': 'zhao', 'csrfmiddlewaretoken': $('[name=csrfmiddlewaretoken]').val()},
            success() {

            }

        })

    })
</script>
  • 方式二
</head>
<body>
<h1>中國銀行</h1>
<form action="" method="post">
    {% csrf_token %}
    <p>username:<input type="text" name="username"></p>
    <p>target_user:<input type="text" name="target_user"></p>
    <p>money:<input type="text" name="money"></p>
    <input type="submit">
</form>
<button id="d1">ajax請求</button>
</body>

<script>
    $('#d1').on('click', function () {
        $.ajax({
            url: '',
            type: 'post',
            //第二種方式:利用模板語法快捷書寫
            data: {'username': 'zhao', 'csrfmiddlewaretoken': '{{csrf_token}}'},
            }
        })
    })
</script>
  • 方式三

先拷貝js檔案:

function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}

var csrftoken = getCookie('csrftoken');


function csrfSafeMethod(method) {
    // these HTTP methods do not require CSRF protection
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

$.ajaxSetup({
    beforeSend: function (xhr, settings) {
        if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken);
        }
    }
});

將檔案配置到靜態檔案中,在html頁面上通過匯入該檔案即可自動幫我們解決ajax提交post資料時校驗csrf_token的問題

</head>
<body>
<h1>中國銀行</h1>
<form action="" method="post">
    {% csrf_token %}
    <p>username:<input type="text" name="username"></p>
    <p>target_user:<input type="text" name="target_user"></p>
    <p>money:<input type="text" name="money"></p>
    <input type="submit">
</form>
<button id="d1">ajax請求</button>
</body>


{% load static %}
<script src="{% static  'js/setup.js' %}"></script>
<script>
    $('#d1').on('click', function () {
        $.ajax({
            url: '',
            type: 'post',
            //第三種方式:引入js檔案
            data: {'username': 'zhao'},
            success() {

            }

        })

    })
</script>

3、csrf相關裝飾器

3.1、FBV

  • 網站整體都校驗csrf,就單單幾個檢視函式不校驗
#配置檔案中開始csrf中介軟體,
from django.views.decorators.csrf import csrf_protect, csrf_exempt

"""
csrf_protect,需要校驗
csrf_exempt  忽視校驗
"""

@csrf_exempt 
def transfer(request):
    if request.method == 'POST':
        username = request.POST.get('username')
        target_user = request.POST.get('target_user')
        money = request.POST.get('money')
        print('%s給%s轉了%s元' % (username, target_user, money))

    return render(request, 'transfer.html')
  • 網站整體都不校驗csrf,就單單幾個檢視函式需要校驗
# 註釋掉form表單中 {% csrf_token %}#}
#關閉配置檔案中csrf中介軟體

@csrf_protect
def transfer(request):
    if request.method == 'POST':
        username = request.POST.get('username')
        target_user = request.POST.get('target_user')
        money = request.POST.get('money')
        print('%s給%s轉了%s元' % (username, target_user, money))

    return render(request, 'transfer.html')

3.2、CBV

csrf_protect,需要校驗
​	針對csrf_protect符合CBV裝飾器的三種寫法

csrf_exempt  忽視校驗
​	針對csrf_protect只能給dispatch方法加才有效
  • 網站整體都不校驗csrf,就單單幾個檢視函式需要校驗
# views.py
from django.utils.decorators import method_decorator
from django.views import View


# @method_decorator(csrf_protect,name='post') #第二種
class MycsrfToken(View):
    @method_decorator(csrf_protect)
    def dispatch(self, request, *args, **kwargs):
        return super(MycsrfToken, self).dispatch(request, *args, **kwargs)

    def get(self, request):
        return HttpResponse('get')

    # @method_decorator(csrf_protect) #第一種方式可以
    def post(self, request):
        return HttpResponse('post')
    
    
# urls.py
 path('csrf/', views.MycsrfToken.as_view()),

# html  from表單向csrf路由提交
<h1>中國銀行</h1>
<form action="/csrf/" method="post">
{#    {% csrf_token %}#}
    <p>username:<input type="text" name="username"></p>
    <p>target_user:<input type="text" name="target_user"></p>
    <p>money:<input type="text" name="money"></p>
    <input type="submit">
</form>


    
# urls.py
path('transfer/', views.transfer),

# views.py
def transfer(request):
    if request.method == 'POST':
        username = request.POST.get('username')
        target_user = request.POST.get('target_user')
        money = request.POST.get('money')
        print('%s給%s轉了%s元' % (username, target_user, money))

    return render(request, 'transfer.html')
  • 網站整體都校驗csrf,就單單幾個檢視函式不校驗
from django.utils.decorators import method_decorator
from django.views import View



# @method_decorator(csrf_exempt,name='dispatch') 
class MycsrfToken(View):

    @method_decorator(csrf_exempt)
    def dispatch(self, request, *args, **kwargs):
        return super(MycsrfToken, self).dispatch(request, *args, **kwargs)

    def get(self, request):
        return HttpResponse('get')

 
    def post(self, request):
        return HttpResponse('post')

相關推薦

為什麼Git遠端倉庫配置

最近在使用阿里雲效平臺程式碼管理,首次使用新建倉庫,使用SSH時需要配置公鑰。之前也在GitHub、Gitee上配置過,每次都能正常使用,也沒有思考過為什麼要配置公鑰。這次記錄一下其中的原理。

git本地倉庫連線gitlab配置以及實戰應用

一、配置(為了讓gitLab和git的本地倉庫建立連線) 1、先生成金。輸入命令:ssh-keygen -t rsa -C \"自己的QQ郵箱\"。

git建立遠端倉庫並上傳程式碼到遠端倉庫

第一步:我們需要先建立一個本地的版本庫(其實也就是一個資料夾)。 你可以直接右擊新建資料夾,也可以右擊開啟Git bash命令列視窗通過命令來建立。

git配置,私

三.解決每次修改檔案上傳必須輸入賬號密碼的問題:如果能記住賬號密碼更好不過了,省事多了,不用每次都輸入賬號密碼!!!而且還得輸入兩遍。記住密碼有兩種方式:

配置_一文解決原始碼掃描漏洞:配置檔案明文密碼改為密文密碼的方法...

技術標籤:配置公鑰 我們用java連結資料庫,不管是web專案還是小程式,都需要把資料庫密碼寫在配置檔案(當然你寫死在程式裡也沒有辦法),或者資料庫,通常原始碼漏洞掃描都會告訴你不能有明文密碼,那麼有

Git使用同一個郵箱生成同一個SSH-Key並配置連線Gitee和GitHub,數次失敗並嘗試親測可行!

技術標籤:sshgit 一、實現Gitee和GitHub是由同一個郵箱註冊的,並且用該郵箱生成一個SSH-Key,用這個SSH-Key分別連線上Gitee和GitHub

Git 遠端倉庫配置 SSH Key

1. 檢視是否已經生成過 SSH Key ls ~/.ssh 顯示有 id_rsa 和 id_rsa.pub 這兩個檔案,就表示已經生成過,可以直接跳過 生成 SSH Key 這一步。

Git刪除Gitee遠端倉庫某個檔案的提交記錄

場景 配置檔案配置了使用者名稱和密碼等資料,但是將其給提交併推送到Gitee上去了。

git遠端倉庫

目錄備註:知識點遠端倉庫本地和遠端倉庫github遠端倉庫新增金新增遠端倉庫SSH警告從GitHub遠端倉庫克隆

如何刪除Git本地倉庫和刪除GitHub上的Git遠端倉庫Repository(推薦)

1.刪除Git本地倉庫 刪除Git本地倉庫的根本原理是刪除“Git本地倉庫”裡面的根目錄下面的隱藏資料夾“.git

搭建Git遠端倉庫

文章目錄 常用的託管服務[遠端倉庫]使用碼雲搭建遠端倉庫 常用的託管服務[遠端倉庫]

git客戶端通過PUTTY生成和私連線GitLab

參考運維工作筆記,賴榮生,感謝兩位的分享。 1 使用PUTTY生成公鑰和私 選擇RSA(部分機器上的加密演算法不太一樣 ),點選Generate 然後不斷的在介面上滑動滑鼠 不然生成進度會停止 第一次用的時候傻叉一

Git遠端倉庫Github

克隆專案 1.克隆遠端倉庫的命令 git clone https://github.com/zhangxiaochuZXC/test007.git 2.配置經理身份資訊

git遠端倉庫如何操作?

技術標籤:Git倉庫git 1.顯示所有遠端倉庫 gitremote-v 2.顯示某個遠端倉庫的資訊

27Django-接入支付寶2(配置安裝SDK)

1檢視自己生成的 [root@web01 ~]#cat app_public_key.pem -----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgabcdefghigklmnopqrstuvwxyz

Git02-Git遠端倉庫

常用的託管服務[遠端倉庫] 註冊碼雲 想使用碼雲的相關服務,需要註冊賬號(地址: https://gitee.com/signup )

Git遠端倉庫(二)--使用IDEA向Gitee提交SpringBoot專案

一、註冊Gitee並新建倉庫 碼雲:https://gitee.com 1.用郵箱或手機號註冊完成後,點選右上角加號,新建倉庫

git克隆遠端倉庫的指定分支方法(附常用git配置命令)

一、普通克隆方式: git clone <遠端倉庫地址> 這種克隆方式預設是克隆master主分支,而且通過命令 git branch --list 能看到克隆後在本地也只有這一個分支,如果再通過新建分支再拉取指定分支,甚至可能還

git配置(私、ssh、

git配置(私、ssh、) 參照: https://blog.csdn.net/weixin_42063071/article/details/80999690

016、倉庫託管_註冊_建立倉庫_配置SSH

倉庫託管_註冊_建立倉庫_配置公鑰 4、Git遠端倉庫 4.1、 常用的託管服務[遠端倉庫]前面我們已經知道了Git中存在兩種型別的倉庫,即本地倉庫遠端倉庫。那麼我們如何搭建Git遠端倉庫呢?我們可以藉助網際網路上提供