31. Django 2.1.7 模板 - CSRF 跨站请求伪造

2024-08-21 03:38

本文主要是介绍31. Django 2.1.7 模板 - CSRF 跨站请求伪造,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

参考文献

  • https://docs.djangoproject.com/zh-hans/2.1/topics/templates/

CSRF

CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。

CSRF示意图如下:

如果想防止CSRF,首先是重要的信息传递都采用POST方式而不是GET方式,接下来就说POST请求的攻击方式以及在Django中的避免。

示例

下面开启两个Django服务,来模拟一下攻击过程。

首先来构建第一个Django项目

1)打开assetinfo/views.py文件,创建视图loginlogin_check, postpost_action

def login(reqeust):return render(reqeust, 'assetinfo/login.html')def login_check(request):username = request.POST.get('username') #获取用户名password = request.POST.get('password') #获取密码# 校验if username == 'smart' and password == '123':request.session['username'] = username #记住登录用户名request.session['islogin'] = True #判断用户是否已登录return redirect('/assetinfo/post/')else:return redirect('/assetinfo/login/')def post(request):return render(request, 'assetinfo/post.html')def post_action(request):if request.session['islogin']:username = request.session['username']return HttpResponse('用户'+username+'发了一篇帖子')else:return HttpResponse('发帖失败')

2)打开assetinfo/urls.py文件,配置url

urlpatterns = [# ex:/assetinfo/loginpath('login/', views.login),# ex:/assetinfo/login_checkpath('login_check/', views.login_check),# ex:/assetinfo/postpath('post/', views.post),# ex:/assetinfo/post_actionpath('post_action/', views.post_action),
]

3)在templates/assetinfo/目录下创建login.htmlpost.html

login.html

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>用户登录</title>
</head>
<body>
<form method="post" action="/assetinfo/login_check/">用户名:<input type="text" name="username"/><br/>密码:<input type="password" name="password"/><br/><input type="submit" value="提交"/>
</form>
</body>
</html>

post.html

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>发帖页面</title>
</head>
<body>
<form method="post" action="/assetinfo/post_action/">标题:<input type="text" name="title"/><br/>内容:<textarea name="content"></textarea><input type="submit" value="发帖"/>
</form>
</body>
</html>

4)启动运行服务器。

python3 manage.py runserver

5)在浏览器中输入如下网址,将这个标签称为网站A。

http://127.0.0.1:8000/assetinfo/login/

浏览效果如下图:

输入账号、密码,登录之后,进入发帖页面,如下:

6)下面使用Django第二个项目来模拟另外一个网站,创建post.html,复制templates/assetinfo/post.html内容,并修改action路径。

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>B网站模拟请求页面</title>
</head>
<body>
<form method="post" action="http://127.0.0.1:8000/assetinfo/post_action/">标题:<input type="text" name="title"/><br/>内容:<textarea name="content"></textarea><input type="submit" value="发帖"/>
</form>
</body>
</html>

7)在windows中浏览器查看效果如下图,将这个标签称为网站B。

8)Django项目中默认启用了csrf保护,现在先禁用,打开第一个项目中的mysite/settings.py文件,注释掉csrf中间件。

9)点击浏览器的第一个标签即网站A,点击"发帖"按钮后如下图:

10)点击浏览器的第二个标签即网站B,点击“发帖”按钮后如下图:

通过action直接访问网站A的地址,成功执行发帖。

对比上面两个步骤,发现无论从网站A还是网站B都可以访问网站Apost_action视图,这就是不安全的。

防止CSRF

1)Django提供了csrf中间件用于防止CSRF攻击,只需要在网站Amysite/settings.py中启用csrf中间件即可。

要注意,Django 2 开始开启中间件不是默认生产的MIDDLEWARE_CLASSES中编写,需要写到MIDDLEWARE中,如下:

MIDDLEWARE = ('django.contrib.sessions.middleware.SessionMiddleware','django.middleware.csrf.CsrfViewMiddleware',
)

2)回到windows浏览器中,分别在网站A、网站B中点击“提交”按钮,效果一样,如下图:

3)这下麻烦了,因为网站A自己也不能访问了,接下来templates/assetinfo/post.html内容,在form表单中使用标签csrf_token。

{% csrf_token %}

4)回到windows浏览器中,在网站A中点击“提交”按钮,效果如下图:

5)回到windows浏览器中,在网站B中点击“提交”按钮,效果如下图:

好了,Django中成功完成CSRF防护。

总结

  • 重要信息如金额、积分等,采用POST方式传递

  • 启用CSRF中间件,默认启用

  • 在form表单中post提交时加入标签csrf_token

保护原理

加入标签后,可以查看post.html的源代码,发现多了一个隐藏域。

在浏览器的“开发者工具”中查看cookie信息。

说明:当启用中间件并加入标签csrf_token后,会向客户端浏览器中写入一条Cookie信息,这条信息的值与隐藏域input元素的value属性是一致的,提交到服务器后会先由csrf中间件进行验证,如果对比失败则返回403页面,而不会进行后续的处理。

这篇关于31. Django 2.1.7 模板 - CSRF 跨站请求伪造的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1092012

相关文章

如何用Docker运行Django项目

本章教程,介绍如何用Docker创建一个Django,并运行能够访问。 一、拉取镜像 这里我们使用python3.11版本的docker镜像 docker pull python:3.11 二、运行容器 这里我们将容器内部的8080端口,映射到宿主机的80端口上。 docker run -itd --name python311 -p

poj3468(线段树成段更新模板题)

题意:包括两个操作:1、将[a.b]上的数字加上v;2、查询区间[a,b]上的和 下面的介绍是下解题思路: 首先介绍  lazy-tag思想:用一个变量记录每一个线段树节点的变化值,当这部分线段的一致性被破坏我们就将这个变化值传递给子区间,大大增加了线段树的效率。 比如现在需要对[a,b]区间值进行加c操作,那么就从根节点[1,n]开始调用update函数进行操作,如果刚好执行到一个子节点,

C++11第三弹:lambda表达式 | 新的类功能 | 模板的可变参数

🌈个人主页: 南桥几晴秋 🌈C++专栏: 南桥谈C++ 🌈C语言专栏: C语言学习系列 🌈Linux学习专栏: 南桥谈Linux 🌈数据结构学习专栏: 数据结构杂谈 🌈数据库学习专栏: 南桥谈MySQL 🌈Qt学习专栏: 南桥谈Qt 🌈菜鸡代码练习: 练习随想记录 🌈git学习: 南桥谈Git 🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈�

poj 1258 Agri-Net(最小生成树模板代码)

感觉用这题来当模板更适合。 题意就是给你邻接矩阵求最小生成树啦。~ prim代码:效率很高。172k...0ms。 #include<stdio.h>#include<algorithm>using namespace std;const int MaxN = 101;const int INF = 0x3f3f3f3f;int g[MaxN][MaxN];int n

uva 1342 欧拉定理(计算几何模板)

题意: 给几个点,把这几个点用直线连起来,求这些直线把平面分成了几个。 解析: 欧拉定理: 顶点数 + 面数 - 边数= 2。 代码: #include <iostream>#include <cstdio>#include <cstdlib>#include <algorithm>#include <cstring>#include <cmath>#inc

uva 11178 计算集合模板题

题意: 求三角形行三个角三等分点射线交出的内三角形坐标。 代码: #include <iostream>#include <cstdio>#include <cstdlib>#include <algorithm>#include <cstring>#include <cmath>#include <stack>#include <vector>#include <

poj 2104 and hdu 2665 划分树模板入门题

题意: 给一个数组n(1e5)个数,给一个范围(fr, to, k),求这个范围中第k大的数。 解析: 划分树入门。 bing神的模板。 坑爹的地方是把-l 看成了-1........ 一直re。 代码: poj 2104: #include <iostream>#include <cstdio>#include <cstdlib>#include <al

最大流、 最小费用最大流终极版模板

最大流  const int inf = 1000000000 ;const int maxn = 20000 , maxm = 500000 ;struct Edge{int v , f ,next ;Edge(){}Edge(int _v , int _f , int _next):v(_v) ,f(_f),next(_next){}};int sourse , mee

利用Django框架快速构建Web应用:从零到上线

随着互联网的发展,Web应用的需求日益增长,而Django作为一个高级的Python Web框架,以其强大的功能和灵活的架构,成为了众多开发者的选择。本文将指导你如何从零开始使用Django框架构建一个简单的Web应用,并将其部署到线上,让世界看到你的作品。 Django简介 Django是由Adrian Holovaty和Simon Willison于2005年开发的一个开源框架,旨在简

C++语法知识点合集:11.模板

文章目录 一、非类型模板参数1.非类型模板参数的基本形式2.指针作为非类型模板参数3.引用作为非类型模板参数4.非类型模板参数的限制和陷阱:5.几个问题 二、模板的特化1.概念2.函数模板特化3.类模板特化(1)全特化(2)偏特化(3)类模板特化应用示例 三、模板分离编译1.概念2.模板的分离编译 模版总结 一、非类型模板参数 模板参数分类类型形参与非类型形参 非类型模板