- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
这个问题更多的是一种再保险,而不是直接关于如何编码的问题。作为一名自学者,我没有太多机会向专业人士询问此类问题,所以我在这里尝试。
我已阅读 django-docs ( https://docs.djangoproject.com/en/1.3/ref/contrib/csrf/ ) 中的文档以及该页面上的一些信息: http://cwe.mitre.org/top25/#CWE-352
据我所知,django 向用户传递一个 token (某种 pin 码)。为了验证它确实是他,他必须在下次请求时返回它。 Google 的一些人发现这甚至可以通过 ajax 请求实现,这就是为什么我们从 1.2.6 开始也制定了保护它们的新政策。 CSRF 是指有人冒充别人给我一些东西(糟糕的、危险的代码、损坏的文件或类似的东西)。
所以如果我有这样的代码:
@csrf_exempt
def grab(request):
"""
view to download an item
POST because it stores that a user has downloaded this item
"""
item_id = request.POST.get('item', None)
if not loop: return HttpResponseBadRequest('no item id provided')
item = Item.objects.get(pk=int(item_id))
应该保存,因为在尝试将给定值转换为整数之前我不会授予对数据库或应用程序任何部分的访问权限。如果我错误地记录了某人下载文件的情况,也不会造成太大的损害(在这种情况下几乎没有)。假设我会根据这个观点撰写法案,那么 CSRF 豁免将是一个很糟糕的主意(对吗?)。
我也不明白为什么有人不能从用户那里窃取 CSRF token 并用它来欺骗我(或用户)。所以我对这个主题有一些疑问:
1)我上面的假设对吗?
2)有人可以告诉我,一些不那么好的人可以使用上面的 View 来做什么(以及如何)做肮脏的把戏,他们会是什么?
3) CSRF 是中间人攻击的一个示例,它只是与之相关,还是完全不同?
4)有任何有值(value)的链接可以进一步阅读此类危险吗?
也许其中一些问题听起来不太灵通,但我正在努力克服这个问题。如果有人能帮助我,我会非常高兴。
最佳答案
CSRF attacks是关于强制受害者浏览器发送伪造的请求。一个简单的<img>
或自动提交<form>
对于 GET 和 POST 方法执行此操作就足够了。当浏览器发送请求时,它会同时发送任何身份验证凭据,从而使请求从服务器的角度看来是真实且合法的,因为它们基本上与用户操作发起的请求没有什么不同。
这正是 CSRF token 的用途:区分用户发起的请求和第三方站点伪造的请求。为此,CSRF token 充当只有服务器和用户知道的 secret 。服务器将 secret 放入响应中的文档中,并期望在下一个请求中将其发回。
由于 secret 嵌入到分配给该特定用户的响应文档中,攻击者需要窃听该特定响应或以其他方式访问该文档。肯定存在获取 CSRF token 的攻击(例如 eavesdropping 、 MITM 、 XSS 等)。但如果您受到保护免受这些攻击,攻击者将无法伪造真实的请求。
关于django - 在什么情况下 CSRF 豁免会产生危险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9956356/
我是 Java 新手,这是我的代码, if( a.name == b.name && a.displayname == b.displayname && a.linknam
在下面的场景中,我有一个 bool 值。根据结果,我调用完全相同的函数,唯一的区别是参数的数量。 var myBoolean = ... if (myBoolean) { retrieve
我是一名研究 C++ 的 C 开发人员: 我是否正确理解如果我抛出异常然后堆栈将展开直到找到第一个异常处理程序?是否可以在不展开的情况下在任何 throw 上打开调试器(即不离开声明它的范围或任何更高
在修复庞大代码库中的错误时,我观察到一个奇怪的情况,其中引用的动态类型从原始 Derived 类型更改为 Base 类型!我提供了最少的代码来解释问题: struct Base { // some
我正在尝试用 C# 扩展给定的代码,但由于缺乏编程经验,我有点陷入困境。 使用 Visual Studio 社区,我尝试通过控制台读出 CPU 核心温度。该代码使用开关/外壳来查找传感器的特定名称(即
这可能是一个哲学问题。 假设您正在向页面发出 AJAX 请求(这是使用 Prototype): new Ajax.Request('target.asp', { method:"post", pa
我有以下 HTML 代码,我无法在所有浏览器中正常工作: 我试图在移动到
我对 Swift 很陌生。我如何从 addPin 函数中检索注释并能够在我的 addLocation 操作 (buttonPressed) 中使用它。我正在尝试使用压力触摸在 map 上添加图钉,在两
我设置了一个详细 View ,我是否有几个 Nib 文件根据在 Root View Controller 的表中选择的项目来加载。 我发现,对于 Nibs 的类,永远不会调用 viewDidUnloa
我需要动态访问 json 文件并使用以下代码。在本例中,“bpicsel”和“temp”是变量。最终结果类似于“data[0].extit1” var title="data["+bpicsel+"]
我需要使用第三方 WCF 服务。我已经在我的证书存储中配置了所需的证书,但是在调用 WCF 服务时出现以下异常。 向 https://XXXX.com/AHSharedServices/Custome
在几个 SO 答案(1、2)中,建议如果存在冲突则不应触发 INSERT 触发器,ON CONFLICT DO NOTHING 在触发语句中。也许我理解错了,但在我的实验中似乎并非如此。 这是我的 S
如果进行修改,则会给出org.hibernate.NonUniqueObjectException。在我的 BidderBO 类(class)中 @Override @Transactional(pr
我使用 indexOf() 方法来精细地查找数组中的对象。 直到此刻我查了一些资料,发现代码应该无法正常工作。 我在reducer中尝试了上面的代码,它成功了 let tmp = state.find
假设我有以下表格: CREATE TABLE Game ( GameID INT UNSIGNED NOT NULL, GameType TINYINT UNSIGNED NOT NU
代码: Alamofire.request(URL(string: imageUrl)!).downloadProgress(closure: { (progress) in
我是一名优秀的程序员,十分优秀!