2. 程式人生 > >django CXRF介紹

django CXRF介紹

阿新 發佈:2018-08-04
input method http 文件中 lan for domain strong dom

CSRF(Cross-site request forgery)跨站請求偽造,是攻擊者利用用戶的身份操作用戶帳戶的一種攻擊方式。和XSS攻擊一樣,存在巨大的危害性。

一、攻擊方法

1、低級的CXRF攻擊

A、加關註的GET接口,blogUserGuid參數明顯是被關註人Id,具有登陸態的用戶可以關註blogUserGuid對應的用戶

  http://www.cnblogs.com/mvc/Follow/FollowBlogger.aspx?blogUserGuid=4e8c33d0-77fe-df11-ac81-842b2b196315

B、攻擊辦法:

  攻擊者在一篇博文內容裏面寫一個img標簽:

  <img style="width:0;" src="http://www.cnblogs.com/mvc/Follow/FollowBlogger.aspx?blogUserGuid=4e8c33d0-77fe-df11-ac81-842b2b196315" />

  被攻擊者在具有登陸態的情況下,在同一個瀏覽器訪問加img標簽的博文,調用了關註接口,被動關註了blogUserGuid對應的用戶

2、中級的CXRF攻擊

上述的攻擊可以通過將接口改成post方法的方式規避;

  針對post方法,攻擊方法如下:第三方的頁面也可以使用包含form表單用於提交請求,如下,訪問包含了這些代碼的頁面,同樣被動調用接口

  技術分享圖片

二、防禦方法

現在業界對CSRF的防禦,一致的做法是使用一個Token(Anti CSRF Token)。 CSRF的Token僅僅用於對抗CSRF攻擊。當網站同時存在XSS漏洞時候,那這個方案也是空談。所以XSS帶來的問題,應該使用XSS的防禦方案予以解決。

三、django中的CXRF使用

1、django使用一個Token(Anti CSRF Token)通過中間件 django.middleware.csrf.CsrfViewMiddleware 來完成,在setting文件中設置,一旦設置了這個中間件,html頁面的form/ajax方式訪問view中的函數,都需要傳遞Token(Anti CSRF Token)

2、html頁面的form/ajax方式訪問view中的函數傳遞Token(Anti CSRF Token)的方式

<!DOCTYPE html>
<html>
<head lang="en">
    <meta charset="UTF-8">
    <title></title>
</head>
<body>
    <!-- form 提交數據產生csrf-token方式 {% csrf_token %}--->
    <form action="/ss" method="post">
        {% csrf_token %}
        <input type="text" name="user"/>
        <input type="text" name="pwd"/>
        <input type="submit"  value="提交"/>
    </form>

    <!-- ajax提交數據--->
    <input type="button" onclick="Do();"  value="Do it"/>
    <!--引入jquery和jquery.cookie--->
    <script src="/static/plugin/jquery/jquery-1.8.0.js"></script>
    <script src="/static/plugin/jquery/jquery.cookie.js"></script>

    <!-- ajax 提交數據,設置csrf-token方式  xhr.setRequestHeader("X-CSRFToken", csrftoken);--->
    <script type="text/javascript">
        var csrftoken = $.cookie(‘csrftoken‘);
        function csrfSafeMethod(method) {
            // these HTTP methods do not require CSRF protection
            return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
        }
        $.ajaxSetup({
            beforeSend: function(xhr, settings) {
                if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
                    xhr.setRequestHeader("X-CSRFToken", csrftoken);
                }
            }
        });
        function Do(){
            $.ajax({
                url:"/app01/test/",
                data:{id:1},
                type:‘POST‘,
                success:function(data){
                    console.log(data);
                }
            });

        }
    </script>
</body>
</html>

django CXRF介紹

相關推薦

django CXRF介紹

input method http 文件中 lan for domain strong dom CSRF(Cross-site request forgery)跨站請求偽造,是攻擊者利用用戶的身份操作用戶帳戶的一種攻擊方式。和XSS攻擊一樣,存在巨大的危害性。 一、攻擊方法

測試開發之Django——No1.介紹以及引申

前言 > 測試行業發展飛速,自動化測試興起,由此對測試人員的要求與日俱增。隨時而來的,就是職能的增加。 > 首先需要學習的,就是自動化測試。而由自動化測試引申而來的,就是另外幾個新增的崗位:自動化測試工程師、測試開發工程師、測試架構工程師。作為測試人員,學習的內容也越來越多 > 除了大

Django簡單介紹

Django的下載與基本命令 (1)下載Django   方式一:在命令列輸入:pip3 install  django     pip install django==1.11.9 -i http://pypi.hustunique.org/simple   指定版本號,

Django簡單介紹與環境搭建

Django:MVC(model:主要封裝對資料庫層的訪問,對資料庫中的資料進行增刪改查操作。view:用於封裝結果,生成頁面展示的html內容。controller:用於接受請求請求,處理業務邏輯,與Model和View互動,返回結果)核心思想:解耦,讓不同的程式碼塊之間降低耦合,增強程式

Django簡單介紹(1)

  Django於2003誕生於美國Kansas洲,最初是用來構建線上新聞的後端伺服器。Django一詞是源自比利時的爵士音樂家Django Reinhardt的名字,意味著Django能開發功能豐富的Web應用。雖然Django誕生比較早,但是提供技術支援的版本最早是2015年, 下圖是從官網上擷取的Dj

3-3.Django orm介紹和model的設計

1.Django model的設計是為了不用去連線資料庫,不用寫select語句。 2.在建立的APP下會自動生成一個models.py的檔案,在裡面設計model,程式碼如下: (verbose_name:可以看作是一個對欄位的註釋)null=True,blank=True表示該行可以為空

Django框架全面講解 -- Django流程介紹

Python的WEB框架有Django、Tornado、Flask 、Zope TurboGears、Web2py(Webpy)、Pylons等多種,Django相較與其他WEB框架其優勢為:大而全,框架本身集成了ORM、模型繫結、模板引擎、快取、Session

Django流程介紹

MVC是眾所周知的模式,即:將應用程式分解成三個組成部分:model(模型),view(檢視),和 controller(控制 器)。其中:      M——管理應用程式的狀態(通常儲存到資料庫中),並約束改變狀態的行為(或者叫做“業務規則”)。      C——接受外部使用

Python全棧工程師學習筆記|Django框架介紹與安裝

Python全棧工程師學習筆記|Django框架介紹與安裝 (1). Web開發介紹 進群:943752371可以獲取Python入門學習資料哦! Python全棧工程師學習筆記|Django框架介紹與安裝 目前Web開發屬於Browser/Server模式,簡稱B

Django 模組介紹

在 Python3 互動終端輸入: >> import django >> help(django) Help on package django: NAME

Django介紹Django

一、介紹Django     1.Diango一個高效的web框架,以最小程式碼構建和維護高質量web應用;     2.減少重複程式碼,專注於Web應用上關鍵的東西;二、框架是什麼     1.不使用

Python全棧工程師學習筆記|Django框架介紹與安裝!

wrap tle 無需 基礎設施 nag 當前 不同 shadow var (1). Web開發介紹 目前Web開發屬於Browser/Server模式,簡稱BS架構,開發語言有(Python、PHP、Java ...)。基於Python的Web工作原理如下:(2). 框架

Django 入門介紹

Django介紹    Django框架是PythonWeb三大主流框架之一,以其功能強大全面而受到眾多開發者追捧,現如今Django已經更新到3版本,但是並不推薦使用,更多建議使用1版本。 Django版本Python版本 1.11 2.7、3.4、3.5、3.6、3.7(在1.11.17中新增)

django的models字段介紹

word binary rom text lcd 方法 名稱 char protoc #增加數據庫數據方法#方法1CalcData.objects.create(var1 =‘21‘,var2=‘22‘)#方法2obj =CalcData(var1 =‘21‘,var2

Django介紹

png 新聞 django model 快速 cnblogs es2017 mvc web開發 Django是Python Web開發框架,采用MVC模式,專有名詞:MVT(Model-View-Template)。最初是用來開發新聞內容為主的網站。近年來得到迅速發展。Dj

Django的標準庫django.contrib包介紹

cat cad sites auth 文檔類型 編寫 驗證框架 模塊 ont 原文地址:http://www.nowamagic.net/academy/detail/1318716 前面我們激活了 Django 後臺,我們要使用自動化的站點管理工具(django.

django session和cooikes介紹

sessionsession&cooikes 名稱解釋 cooikes在計算機中是指一種能夠讓網站服務器把少量數據存儲到客戶端的硬盤或者文件內。重點是存放在客戶端的一個鍵值對。好處:是互聯網的網網絡使用起來更方便了一些。壞處:由於是明文存在於客戶端,安全性不好。session是存在於服務器上一個數據。

Django種ORM介紹和字段及字段參數

數列 mat mysql模塊 外鍵關聯 每次 digi mysql5.5 錯誤 1.4 要點概論: 1. ORM 介紹 2. Django種的ORM 3. Django ORM常用字段和參數 4. 關系字段 5. 元信息 1. ORM介紹   1.1 ORM概念

Django中ORM介紹和字段及字段參數

時也 特殊 nothing duration sys cal 概念 目錄 gre Object Relational Mapping(ORM) ORM介紹 ORM概念 對象關系映射(Object Relational Mapping,簡稱ORM)模式是一種為了解決面向

DJango模塊語言(DTL)語法簡單介紹

應用 oop 調用 表示 if標簽 運算符 使用 邏輯 查詢 DTL 變量 {{ 變量 }},變量裏面可以包含 . 標簽{% 代碼塊 %} 過濾器 { { 變量|過濾器 }} 註釋{# 代碼塊或者html都可以被註冊 #} 變量 如果變量中含有點:則解析順序如下 如{{b