2. 程式人生 > >Django—XSS及CSRF

Django—XSS及CSRF

阿新 發佈:2018-06-07
awr BE var 請求頭 item 應用 腳本 views div

綜合編程 Python_博客園 (源鏈) 2017-06-28

一、XSS

跨站腳本攻擊 (Cross Site Scripting),為不和 層疊樣式表 (Cascading Style Sheets, CSS )的縮寫混淆,故將跨站腳本攻擊縮寫為XSS。惡意攻擊者往Web頁面裏插入惡意Script代碼,當用戶瀏覽該頁之時,嵌入其中Web裏面的Script代碼會被執行,從而達到惡意攻擊用戶的目的。

1. 工作流程

a. 惡意用戶,在一些公共區域(例如,建議提交表單或消息公共板的輸入表單)輸入一些文本,這些文本被其它用戶看到,但這些文本不僅僅是他們要輸入的文本,同時還包括一些可以在客戶端執行的腳本。如:


   this.document = "*********"; 
  alert(‘Not Safe‘);

b. 惡意提交這個表單

c. 其他用戶看到這個包括惡意腳本的頁面並執行,獲取用戶的cookie等敏感信息。

技術分享圖片

2. 實例-未防範XSS攻擊


 1 pinglu = []     # 評論列表
 2 
 3 #提交表單
 4 def commit(request):
 5     if request.method == ‘GET‘:
 6         return render(request, ‘commit.html‘)
 7     else:
 8         com = request.POST.get(‘commit‘)
 9         pinglu.append(com)
10         return redirect(‘/index.html/‘)
11 
12 
13 #查看評論頁面
14 def index(request):
15     return render(request, ‘index.html‘, {‘commit‘: pinglu})

view.py
 

 1 
 2 
 3 
 4     
 5     
 6 
 7 
 8

評論


 9
10 11 {{ error }} 12 13 14 commit.html

 1 
 2 
 3 
 4     
 5     
 6 
 7 
 8

評論


 9 {% for item in commit %}
10
{{ item|safe }} 

11 {#    item後加safe,默認數據安全,django不會做特殊處理#}
12 {% endfor %}
13 
14 

index.html

以上實例中,若在commit.html頁面輸入以下內容並提交:

 alert(123)

則會在index頁面執行此行代碼,彈出警告框(若包含惡意代碼,則會執行)

技術分享圖片

3. 防範XSS攻擊

  • 最直接的方法就是對於無法控制的輸入在html頁面內不要使用safe
{#
{{ item|safe }} 
#}
{{ item }}
  • 也可以在views裏進行過濾,防止特殊字符提交到數據庫或網頁內
def commit(request):
    if request.method == ‘GET‘:
        return render(request, ‘commit.html‘)
    else:
        com = request.POST.get(‘commit‘)
        if ‘‘ in com:    # 過濾“”關鍵字,防止惡意代碼的提交
            return render(request, ‘commit.html‘, {‘error‘: ‘此條評論有毒,已被和諧‘})
        else:
            pinglu.append(com)
            return redirect(‘/index.html/‘)

技術分享圖片

二、CSRF

CSRF(Cross-site request forgery)跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。盡管聽起來像跨站腳本( XSS ),但它與XSS非常不同,XSS利用站點內的信任用戶,而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網站。與 XSS 攻擊相比,CSRF攻擊往往不大流行(因此對其進行防範的資源也相當稀少)和難以防範,所以被認為比 XSS 更具危險性。

1. 工作流程

攻擊通過在授權用戶訪問的頁面中包含鏈接或者腳本的方式工作:

技術分享圖片

2. django中如何防範

django為用戶實現防止跨站請求偽造的功能,通過中間件 django.middleware.csrf.CsrfViewMiddleware 來完成。而對於django中設置防跨站請求偽造功能有分為全局和局部。

全局:

  • 啟用中間件 django.middleware.csrf.CsrfViewMiddleware

技術分享圖片

局部:

from django.views.decorators.csrf import csrf_exempt,csrf_protect
  • @csrf_protect,為當前函數強制設置防跨站請求偽造功能,即便settings中沒有設置全局中間件
  • @csrf_exempt,取消當前函數防跨站請求偽造功能,即便settings中設置了全局中間件。

3. django中的具體應用方法

  • form表單中添加 { % csrf_token % }

若form表單中未添加 { % csrf_token % },則會報403錯誤。

#settings.py中打開MIDDLEWARE設置
‘django.middleware.csrf.CsrfViewMiddleware‘,

1 from django.shortcuts import render, HttpResponse, redirect
2 
3 def csrf_test(request):
4     if request.method == ‘GET‘:
5         return render(request, ‘csrf_test.html‘)
6     else:
7         return HttpResponse(‘ok‘)

views.py

 1 
 2 
 3 
 4     
 5     
 6 
 7 
 8
9 10 11 12 13 14 csef_test.html

技術分享圖片

修改csef_test.html:


 1 
 2 
 3 
 4     
 5     
 6 
 7 
 8
9 {% csrf_token %} 10 11 12 13 14 15 form表單中添加{% csrf_token %}

技術分享圖片

  • 全站禁用,即將settings.py中的 ‘django.middleware.csrf.CsrfViewMiddleware’ 註釋掉即可
  • 基於FBV視圖的局部禁用和使用

 1 #settings.py
 2 #啟用 ‘django.middleware.csrf.CsrfViewMiddleware‘,
 3 
 4 
 5 from django.views.decorators.csrf import csrf_exempt
 6 
 7 
 8 @csrf_exempt
 9 def csrf_test(request):
10     if request.method == ‘GET‘:
11         return render(request, ‘csrf_test.html‘)
12     else:
13         return HttpResponse(‘ok‘)

局部禁用

 1 #settings.py
 2 #禁用 #‘django.middleware.csrf.CsrfViewMiddleware‘,
 3 
 4 
 5 from django.views.decorators.csrf import csrf_protect
 6 
 7 
 8 @csrf_protect
 9 def csrf_test(request):
10     if request.method == ‘GET‘:
11         return render(request, ‘csrf_test.html‘)
12     else:
13         return HttpResponse(‘ok‘)

局部使用
  • 基於CBV視圖的(只能局部使用或禁用類,不能在類方法裏局部使用或禁用

 1 #settings.py
 2 #禁用    ‘django.middleware.csrf.CsrfViewMiddleware‘,
 3 
 4 
 5 from django.views import View
 6 from django.views.decorators.csrf import csrf_protect
 7 from django.utils.decorators import method_decorator
 8 
 9 
10 @method_decorator(csrf_protect, name=‘dispatch‘)
11 class Foo(View):
12     def get(self, request):
13         pass
14 
15     def post(self, request):
16         pass

局部使用

 1 #settings.py
 2 #啟用    ‘django.middleware.csrf.CsrfViewMiddleware‘,
 3 
 4 
 5 from django.views import View
 6 from django.views.decorators.csrf import csrf_exempt
 7 from django.utils.decorators import method_decorator
 8 
 9 
10 @method_decorator(csrf_exempt, name=‘dispatch‘)
11 class Foo(View):
12     def get(self, request):
13         pass
14 
15     def post(self, request):
16         pass

局部禁用
  • Ajax提交數據時,攜帶CSRF

 1 
 2 
 3 
 4     
 5     
 6 
 7 
 8
9 {% csrf_token %} 10 11 {# #} 12 Ajax提交表單 13 14 15 16 17 function submitForm() { 18 var csrf = $("input[name=‘csrfmiddlewaretoken‘]").val() 19 var user = $("#user").val() 20 $.ajax({ 21 url: ‘/csrf_test.html/‘, 22 type: ‘POST‘, 23 data: {"user": user, "csrfmiddlewaretoken": csrf}, 24 success: function (arg) { 25 console.log(arg); 26 } 27 }) 28 } 29 30 31 Ajax重寫csrf_test,htmlcsrf數據存放於data

 1 
 2 
 3 
 4     
 5     
 6 
 7 
 8
9 {% csrf_token %} 10 11 {# #} 12 Ajax提交表單 13 14 15 16 {#專門處理cookie的插件,提取cookie字符串#} 17 18 19 {#csrf數據放於data中#} 20 {##} 21 {# function submitForm() {#} 22 {# var csrf = $("input[name=‘csrfmiddlewaretoken‘]").val();#} 23 {# var user = $("#user").val();#} 24 {# $.ajax({#} 25 {# url: ‘/csrf_test.html/‘,#} 26 {# type: ‘POST‘,#} 27 {# data: {"user": user, "csrfmiddlewaretoken": csrf},#} 28 {# success: function (arg) {#} 29 {# console.log(arg);#} 30 {# }#} 31 {# })#} 32 {# }#} 33 {##} 34 35 {#csrf數據放於請求頭中#} 36 37 function submitForm() { 38 var csrf = $.cookie(‘csrftoken‘); 39 var user = $("#user").val(); 40 $.ajax({ 41 url: ‘/csrf_test.html/‘, 42 type: ‘POST‘, 43 headers: {‘X-CSRFToken‘: csrf}, 44 data: {"user": user}, 45 success: function (arg) { 46 console.log(arg); 47 } 48 }) 49 } 50 51 52 53 54 55 Ajax重寫csrf_test.htmlcsrf數據存放於headers

註意: { % csrf_token % }和cookie中的csrftoken值不一樣。

form表單中的隱藏csrf_token

技術分享圖片

cookie中

技術分享圖片

Django—XSS及CSRF

相關推薦

DjangoXSSCSRF

awr BE var 請求頭 item 應用 腳本 views div 綜合編程 Python_博客園 (源鏈) 2017-06-28 一、XSS 跨站腳本攻擊 (Cross Site Scripting),為不和 層疊樣式表 (Cascading Style S

XSSCSRF攻擊防禦

一、概念: XSS攻擊全稱跨站指令碼攻擊(Cross Site Scripting); CSRF(Cross-site request forgery)跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSR

DjangoXSSCSRF

alert .post import error onclick input 放置 edi 控制 一、XSS XSS:跨站腳本攻擊(也稱為XSS)指利用網站漏洞從用戶那裏惡意盜取信息。 1.工作流程圖 2.實例 1 pinglu = [] # 評論列表 2

XSSCSRF簡述預防措施

在 Web 安全領域中,XSS 和 CSRF 是最常見的攻擊方式。本文將會簡單介紹 XSS 和 CSRF 的攻防問題。 1. xss XSS,即 Cross Site Script,中譯是跨站指令碼攻擊;其原本縮寫是 CSS,但為了和層疊樣式表(Cascading S

常見網路安全問題處理(xsscsrf

強調內容## 1、XSS(Cross Site Script) 把token儲存在cookie中,同時設定httpOnly。 2、CSRF(cross-site request forgery) 2.1、判斷reffer。系統改動最小,通過filt

XSSCSRF的原理防禦

XSS是跨站指令碼攻擊,是一種常見的web應用程式中的電腦保安漏洞,xss通過使用者端注入惡意的可執行指令碼,若伺服器對使用者輸入不進行處理,直接將使用者的輸入輸出到瀏覽器,然後瀏覽器將會執行注入的指令碼;可以直接寫一個可執行指令碼,也可以直接寫html,在標籤裡面寫一個惡意

淺析XSSCSRF攻擊防禦

定義 XSS(Cross Site Scripting跨站指令碼),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站指令碼攻擊縮寫為XSS。 CSRF(Cross-site request forg

python中django框架的csrf驗證

驗證 觸發 pwd checkbox 參數 setup quest class 設置 在form表單以post的方式提交時,django默認會帶一個驗證的機制csrf驗證 <form action="/day02/login/" method="post">

Django補充初識Ajax

gen 以及 test model file ger key 字段 render Django創建一對多表結構 首先現在models.py中寫如下代碼: from django.db import models # Create your models here.

Django中的CSRF

logs mage login tex log cnblogs token gin post CSRF跨站請求偽造,是django中一個內置的中間件安全機制 <form action="" method="post"> {% csrf_token %}

XSSCSRF

script 獲取 for code amp 不相信 cli xss .com 原則: 不相信客戶輸入的數據註意: 攻擊代碼不一定在<script></script>中 1、將重要的cookie標記為http only, 這樣的話Javasc

第十九 django繼續CRM

message big err pps list 新項目 verbose mem files 1.創建新項目 2.設計數據庫表 from django.db import models # Create your models here. from django

Django XSS攻擊

導入 代碼植入 頁面 article zed esc 現在 escape ofo 一、什麽是XSS攻擊 XSS即跨站腳本攻擊,XSS是一種經常出現在web應用中的計算機安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。 xss攻擊允許用戶註入客戶端腳本到

XssCsrf介紹

常見 post 接收 一個 spa name down 技術 int Xss和Csrf介紹 Xss Xss(跨站腳本攻擊),全稱Cross Site Scripting,惡意攻擊者向web頁面中植入惡意js代碼,當用戶瀏覽到該頁時,植入的代碼被執行,達到惡意攻擊用戶的目的。

XSS SQL CSRF

原理 情況 性能 跨站腳本攻擊 鏈接 csrf src session 跨站 XSS(Cross Site Script,跨站腳本攻擊)是向網頁中註入惡意腳本在用戶瀏覽網頁時在用戶瀏覽器中執行惡意腳本的攻擊方式。跨站腳本攻擊分有兩種形式:反射型攻擊(誘使用戶點擊一個嵌入惡意

淺談CDN、SEO、XSSCSRF

目錄 轉義 cdn加速 用戶 display follow 網頁 很多 防禦 CDN 什麽是CDN 初學Web開發的時候,多多少少都會聽過這個名詞->CDN。 CDN在我沒接觸之前,它給我的印象是用來優化網絡請求的,我第一次用到CDN的時候是在找JS文件時。當時找不到

Django中的csrf基礎了解

通過 n) TP tin 完成 劃線 alt 分網 () 簡介 django為用戶實現防止跨站請求偽造的功能,通過中間件 django.middleware.csrf.CsrfViewMiddleware 來完成。而對於django中設置防跨站請求偽造功能有分為全局和局部

XSSCSRF 兩種跨站攻擊

鏈接 href 本機 但是 不可見 不知道 pre col CI 在前幾年,大家一般用拼接字符串的方式來構造動態 SQL 語句創建應用,於是 SQL 註入成了很流行的攻擊方式, 但是現在參數化查詢 已經成了普遍用法,我們已經離 SQL 註入很遠了。但是歷史同樣

Django簡介Django項目的創建詳述

交互 展示 ins ase 視圖 行操作 數據 file 關系 Django簡介 Django是一個開源的Web應用框架,由Python寫成。但是,百度百科中講它采用了MVC框架模式,其實這個解釋不準確。 確切的講,Django的模式是:路由控制+MTV模式。所謂的路由控制

XSSCSRF 攻擊

bbs 防止 最好的 防範 微軟 做的 不同 效果 授權 網站安全的基礎有三塊: (1) 防範中間人攻擊 (TLS mim, man in the middle) 當主機A、和機B通信時,都由主機C來為其“轉發”,而A、B之間並沒有真正意思上的直接通信,他們之間的信息傳遞同