2. 程式人生 > >python之路--web--2--Django-6-跨站請求偽造

python之路--web--2--Django-6-跨站請求偽造

阿新 發佈:2017-12-05
跨站 orm 使用 ade safe spa doctype n) java

三、 跨站請求偽造

一、簡介

django為用戶實現防止跨站請求偽造的功能,通過中間件 django.middleware.csrf.CsrfViewMiddleware 來完成。而對於django中設置防跨站請求偽造功能有分為全局和局部。

全局:

  中間件 django.middleware.csrf.CsrfViewMiddleware

局部:

  • @csrf_protect,為當前函數強制設置防跨站請求偽造功能,即便settings中沒有設置全局中間件。
  • @csrf_exempt,取消當前函數防跨站請求偽造功能,即便settings中設置了全局中間件。

註:from django.views.decorators.csrf import csrf_exempt,csrf_protect

二、應用

1、普通表單

1 veiw中設置返回值:
2   return render_to_response(‘Account/Login.html‘,data,context_instance=RequestContext(request))  
3      或者
4      return render(request, ‘xxx.html‘, data)
5   
6 html中設置Token:
7   {% csrf_token %}

2、Ajax

對於傳統的form,可以通過表單的方式將token再次發送到服務端,而對於ajax的話,使用如下方式。

view.py

 1 from django.template.context import RequestContext
 2 # Create your views here.
 3   
 4   
 5 def test(request):
 6   
 7     if request.method == ‘POST‘:
 8         print request.POST
 9         return HttpResponse(‘ok‘)
10     return  render_to_response(‘app01/test.html‘,context_instance=RequestContext(request))

text.html

 1 <!DOCTYPE html>
 2 <html>
 3 <head lang="en">
 4     <meta charset="UTF-8">
 5     <title></title>
 6 </head>
 7 <body>
 8     {% csrf_token %}
 9   
10     <input type="button" onclick="Do();"  value="Do it"/>
11   
12     <script src="/static/plugin/jquery/jquery-1.8.0.js"></script>
13     <script src="/static/plugin/jquery/jquery.cookie.js"></script>
14     <script type="text/javascript">
15         var csrftoken = $.cookie(‘csrftoken‘);
16   
17         function csrfSafeMethod(method) {
18             // these HTTP methods do not require CSRF protection
19             return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
20         }
21         $.ajaxSetup({
22             beforeSend: function(xhr, settings) {
23                 if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
24                     xhr.setRequestHeader("X-CSRFToken", csrftoken);
25                 }
26             }
27         });
28         function Do(){
29   
30             $.ajax({
31                 url:"/app01/test/",
32                 data:{id:1},
33                 type:‘POST‘,
34                 success:function(data){
35                     console.log(data);
36                 }
37             });
38   
39         }
40     </script>
41 </body>
42 </html>

更多:https://docs.djangoproject.com/en/dev/ref/csrf/#ajax

python之路--web--2--Django-6-跨站請求偽造

相關推薦

python--web--2--Django-6-請求偽造

跨站 orm 使用 ade safe spa doctype n) java 三、 跨站請求偽造 一、簡介 django為用戶實現防止跨站請求偽造的功能,通過中間件 django.middleware.csrf.CsrfViewMiddleware 來完成。而對於djang

python--web--2--Django-9-分頁

自定義分頁 取數據 計算 分享 頁碼 col 用戶輸入 div 輸入 六、分頁 一、Django內置分頁 views.py Html 擴展內置分頁:views.py 擴展內置分頁:Html 二、自定義分頁 分頁功能在每個網站都是必要的,對於分頁來說,其實就是根據用戶的輸入計

python--web--2--Django-11-信號

one 內置 操作 def sig 自定義 view src als 九、信號 Django中提供了“信號調度”,用於在框架執行操作時解耦。通俗來講,就是一些動作發生的時候,信號允許特定的發送者去提醒一些接受者。 1、Django內置信號 1 Model signals

Django-csrf請求偽造

.com form表單提交 input 語法 渲染 serve o-c bsp es2017 方式一: 下列代碼插入ajax提交之$.ajaxSetup({ data: {csrfmiddlewaretoken: ‘{{ csrf_token }}‘ },

Django CSRF請求偽造的禁用和使用

CSRF (Cross-site request forgery) Django後臺設定 全域性和區域性設定 # 全站使用 'django.middleware.csrf.CsrfViewMiddleware', # 區域性禁用 from django.view

Python67-防CSRF請求偽造

python目錄一、簡介二、應用三、官方示例一、簡介django為用戶實現防止跨站請求偽造的功能,通過中間件django.middleware.csrf.CsrfViewMiddleware來完成。而對於django中設置防跨站請求偽造功能有分為全局和局部。全局: 中間件 django.middlewa

小菜鳥學習Python--OOP(2)

繼承和多型 class Human(object): def learn(self): print('Human is learning') class Qin(Human): #繼承human類 pass qin = Qin() qin.l

Django框架 基於Ajax中csrf請求偽造

set lin cells ret body div nta java val ajax中csrf跨站請求偽造 方式一 1 2 3 $.ajaxSetup({ data: {csrfmiddlewaretoken: ‘{{ csrf_token

三十三、python學習Flask框架(五)模板:WTF表單、CSRF請求偽造、模板特有函式&變數

一、WTF表單: 1.web表單: Web 表單是 Web 應用程式的基本功能。預設開啟CSRF保護功能 它是HTML頁面中負責資料採集的部件。表單有三個部分組成:表單標籤、表單域、表單按鈕。表單允許使用者輸入資料,負責HTML頁面資料採集,通過表單將使用者輸入的資料提交給伺服器

張小白的滲透(四)——XSS指令碼漏洞詳解

XSS簡介 XSS又叫CSS(Cross Site Script),即跨站指令碼攻擊。是指攻擊者在網頁中嵌入客戶端指令碼,通常是JavaScript編寫的惡意程式碼,當用戶使用瀏覽器瀏覽被嵌入惡意程式碼

Web開發框架安全問題及防範規範|CSRF請求偽造

Web站點為什麼會遭受攻擊?是為了惡作劇?損害企業名譽?免費瀏覽收費內容?盜竊使用者隱私資訊?獲取使用者賬號謀取私利?總之攻擊方式層出不窮,作為Web開發框架來說,幫助開發者做好解決安全問題也是刻不容緩的,本篇文章來告訴大家怎麼禁止CSRF跨站請求偽造。 WEb開發框架適用範圍 Web網站 攻擊原理

Web安全CSRF請求偽造攻擊

CSRF全稱Cross-Site Request Forgery,跨站請求偽造攻擊。 其攻擊原理是: 攻擊者在使用者瀏覽網頁時,利用頁面元素(例如img的src),強迫受害者的瀏覽器向Web應用程式傳送一個改變使用者資訊的請求。 由於發生CSRF攻擊後,攻

Web安全測試請求偽造(CSRF)

 跨站請求偽造(即CSRF)被Web安全界稱為諸多漏洞中“沉睡的巨人”,其威脅程度由此“美譽”便可見一斑。本文將簡單介紹該漏洞,並詳細說明造成這種漏洞的原因所在,以及針對該漏洞的黑盒測試與灰盒子測試具體方法和示例,最後提提了一些防範該攻擊的建議,希望本文對讀者的安全測試

web安全請求偽造

CSRF(Cross-site request forgery),中文名稱:跨站請求偽造.因為這個不是使用者真正想發出的請求,這就是所謂的請求偽造;因為這些請求也是可以從第三方網站提交的,所以字首跨站二字。 CSRF發生的場景如下圖所示: 使用者登入訪問了一個受信任的

DVWA請求偽造(CSRF)

har 就會 之前 -s host 點擊 lang 不知道 string CSRF全稱是Cross site request forgery ,翻譯過來就是跨站請求偽造。 CSRF是指利用受害者尚未失效的身份認證信息(cookie,會話信息),誘騙其點擊惡意鏈接或者訪問包含

django中csrftoken請求偽造的幾種方式

urn pre 並不是 coo 註釋 cli bsp ucc UNC 1.介紹 我們之前從前端給後端發送數據的時候,一直都是把setting中中間件裏的的csrftoken這條給註釋掉,其實這個主要起了一個對保護作用,以免惡意性數據的攻擊。但是這樣直接註釋掉並不是理智型的

Django - CSRF(Cross-site request forgery 請求偽造

目錄 一、CSRF(Cross-site request forgery 跨站請求偽造) 1-1 CSRF 攻擊原理 1-3 CSRF 攻擊防範方式(主流的三種策略)  1-3-1 驗證HTTP Referer 欄位 1-3-2 在請求地址中新增token並驗證 1

Django框架(十八)—— 中介軟體、CSRF請求偽造

中介軟體 一、什麼是中介軟體 中介軟體是介於request與response處理之間的一道處理過程,相對比較輕量級,並且在全域性上改變django的輸入與輸出 二、中介軟體的作用 如果你想修改請求,例如被傳送到view中的HttpRequest物件。 或者你想修改view返回的HttpRespon

Django框架(十八)—— 中間件、CSRF請求偽造

exce meta messages options prot function port 信任 隨機 中間件 一、什麽是中間件 中間件是介於request與response處理之間的一道處理過程,相對比較輕量級,並且在全局上改變django的輸入與輸出 二、中間件的作用

web安全同源策略以及指令碼,請求偽造

http是無狀態協議 所以伺服器為了辨識訪問者是否已經訪問過 會給瀏覽器一個cookie 瀏覽器再次訪問時候 將cookie傳過去 伺服器就可以知道 該訪問者已經登陸過 不需要再次登陸       但是早起 伺服器是被動 也就是 當瀏覽器發起請求