Django跨域请求CSRF的方法示例-6ren

Django跨域请求CSRF的方法示例

转载作者：qq735679552 更新时间：2022-09-27 22:32:09

24

4

CFSDN坚持开源创造价值，我们致力于搭建一个资源共享平台，让每一个IT人在这里找到属于你的精彩世界.

这篇CFSDN的博客文章Django跨域请求CSRF的方法示例由作者收集整理，如果你对这篇文章有兴趣，记得点赞哟.

web跨域请求。

1.为什么要有跨域限制。

举个例子:

1.用户登录了自己的银行页面 http://mybank.com，http://mybank.com向用户的cookie中添加用户标识。 2.用户浏览了恶意页面 http://evil.com。执行了页面中的恶意AJAX请求代码。 3.http://evil.com向http://mybank.com发起AJAX HTTP请求，请求会默认把http://mybank.com对应cookie也同时发送过去。 4.银行页面从发送的cookie中提取用户标识，验证用户无误，response中返回请求数据。此时数据就泄露了。 5.而且由于Ajax在后台执行，用户无法感知这一过程.

以上就是所谓是CSRF（Cross-site request forgery）攻击，跨站请求伪造。接下来说一下 Django中处理csrf的方式。

正常情况下直接发起一个psot请求，会报错。错误的意思是csrf校验失败，request请求被丢弃掉.

那么在django中的post失败有两种解决办法:

解决办法一：将csrf中间层注释掉。

 
    ? 
   
         MIDDLEWARE  
         = 
         [ 
        
         'django.middleware.security.SecurityMiddleware' 
         , 
        
         'django.contrib.sessions.middleware.SessionMiddleware' 
         , 
        
         'django.middleware.common.CommonMiddleware' 
         , 
        
         #  'django.middleware.csrf.CsrfViewMiddleware', 
        
         'django.contrib.auth.middleware.AuthenticationMiddleware' 
         , 
        
         'django.contrib.messages.middleware.MessageMiddleware' 
         , 
        
         'django.middleware.clickjacking.XFrameOptionsMiddleware' 
         , 
        
         ]

此时将不会进行csrf的校验，但如前面所述，这是一种不安全的行为。而且djano也不推荐使用。

解决办法二:

在前面的提示中有这样一句话:

 
    ? 
   
         < 
         form 
         action 
         = 
         "" 
         method 
         = 
         "post" 
         >{% csrf_token %}

也就是说在网页中加入csrf_token的标签就可以通过csrf校验。

Django 提供的 CSRF 防护机制:

1、django 第一次响应来自某个客户端的请求时，会在服务器端随机生成一个 token，把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token，这样就能避免被 CSRF 攻击.

2、在返回的 HTTP 响应的 cookie 里，django 会为你添加一个 csrftoken 字段，其值为一个自动生成的 token，在所有的 POST 表单时，必须包含一个 csrfmiddlewaretoken 字段（只需要在模板里加一个 tag， django 就会自动帮你生成，见下面）。

3、在处理 POST 请求之前，django 会验证这个请求的 cookie 里的 csrftoken 字段的值和提交的表单里的 csrfmiddlewaretoken 字段的值是否一样。如果一样，则表明这是一个合法的请求，否则，这个请求可能是来自于别人的 csrf 攻击，返回 403 Forbidden. 。

4、在所有 ajax POST 请求里，添加一个 X-CSRFTOKEN header，其值为 cookie 里的 csrftoken 的值。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持我.

原文链接：https://blog.csdn.net/u013967628/article/details/83479652 。

最后此篇关于Django跨域请求CSRF的方法示例的文章就讲到这里了,如果你想了解更多关于Django跨域请求CSRF的方法示例的内容请搜索CFSDN的文章或继续浏览相关文章，希望大家以后支持我的博客！。

24

4

0

文章推荐：老生常谈python中的重载

文章推荐：心痛感到无助的女生个性签名之所以会念念不忘是因为得不到

文章推荐：个性签名唯美小清新女2020 全世界都对只有我不明是非

文章推荐： Python rstrip()方法实例详解

csrf - CSRF 防御也可以防御点击劫持吗？
假设我的 Web 应用程序使用 CSRF token 防止 CSRF 攻击，此外，它使用 SSL 并防止 XSS 攻击。此外，出于这个问题的目的，假设它仅在最近的浏览器中使用并且它们没有错误。我可以使
csrf - CSRF 是否安全？
很多人都在谈论实现 CSRF 来阻止对网页的跨站点攻击。但我认为破坏 CSRF 并向服务器发出请求非常容易。那么它是如何工作的呢？您从一个页面开始，呈现一个表单并使用 CSRF token 保留一
csrf - 好像我对 CSRF 的理解有误？
在阅读了许多有关 CSRF 的文档后，我仍然有点困惑。所以我希望有人可以向我解释一下: 假设我有一个仅供经过身份验证的用户使用的个人资料页面，比如说 abc.com/profile，它会显示我所有的私
csrf - 如何将 CSRF Token 设置为不同的上下文路径
我们基于 Angular 的 web 应用程序与在不同域和上下文路径上运行的企业门户集成。我正在使用基于 Spring Security 的 CSRF token 来验证传入的请求。该应用程序在本地完
csrf - JSON API 和 CSRF
我正在开发一个 Web API。身份验证是通过 cookie 进行的。所有端点通过JSON接收参数在请求正文中。我需要实现 CSRF token保护他们？这怎么可能被利用呢？是否可以通过正常发送JS
csrf - CSRF token 是 base64url 编码的吗？
我正在开发一个从 cookie header 解析 CSRF token 的应用程序。我想知道 CSRF token 是否使用 URL 安全字符进行 base64 编码(参见 https://simp
即使包含 csrf token ，Django CSRF 验证也失败
我知道当提交时表单中未包含 csrf token 时会发生此错误，但这次并非如此。我正在尝试登录管理站点。管理员登录表单包含 csrf token ，我可以看到该 csrf token 的值与 cs
csrf - 在 Yii2 中禁用单个操作的 CSRF 验证
有没有办法对 Controller 的某些操作禁用 CSRF 验证，同时对其他操作保持启用状态？就我而言，我有几个可配置的 Action 类，它们旨在注入(inject)到 Controller 中
csrf - 什么是 CSRF 代币？它的重要性是什么？它是如何运作的？
我正在编写一个应用程序(Django，确实如此)，我只想了解“CSRF token ”实际上是什么以及它如何保护数据。如果不使用CSRF token ，发布数据不安全吗？最佳答案简单来说跨站请求
csrf - 如果没有同源策略，一个邪恶的站点可以读取 CSRF token 吗？
来自维基百科关于同源政策 https://en.wikipedia.org/wiki/Same-origin_policy The same-origin policy helps protect s
csrf - 如何使用 axios 发送 CSRF header ？
我在 Vue 环境中使用 axios 与用 Symfony 编写的网络服务对话。每个请求都需要设置一个 X-Auth-Token header 。该值存储在 auth_token cookie 中。
javascript - CSRF/CSRF 安全 REST 调用的最佳实践？
我想保护我的 REST 调用免受 XSRF 攻击。我正在做的是: 服务器在用户成功登录后向浏览器发送一个记录的 cookie。在每个请求(GET、POST、DELETE)上，我将登录的 cookie
Django CSRF 验证失败。请求中止。- CSRF cookie 未设置
我知道这个问题以前有人问过。我已经尝试了人们给出的几乎所有选项，但我似乎无法解决它。我是一个完整的新手，所以请让我知道我哪里出错了。我正在尝试编写一个简单的原始表单。到目前为止，我还没有实现任何身份
csrf - Laravel 5 : POST without CSRF checking
似乎 Laravel 5 默认将 CSRF 过滤器应用于所有非获取请求。这对于表单 POST 是可以的，但对于 POST DELETE 等的 API 可能是一个问题。简单的问题: 如何设置没有 CS
spring-security - CSRF token 已关联到此客户端”而不禁用 CSRF
当我从客户端向服务器发出 DELETE 请求时，我遇到了错误。 “CSRF token 已关联到此客户端”。响应代码:403 和响应头 { "cache-control": "no-cache,
security - 为什么随机 CSRF key 可以防止 CSRF 攻击？
to prevent CSRF attacks, a random CSRF secret has been generated. 以上内容来自 symfony: http://www.symfony
Django CSRF 失败 : CSRF token missing or incorrect
我正在使用 Django Rest Framework还有 django-rest-auth . 我有标准的 API 端点(/login、/logout、/registration...) 使用我的浏
csrf - Google OAuth 状态 token 实际上阻止了什么 CSRF？
这个问题在这里已经有了答案: OAuth2.0 Server stack how to use state to prevent CSRF? for draft2.0 v20 (3 个回答) 4年前关
csrf - 我需要知道如何在 Impresspages cms 中禁用 CSRF 功能
我需要知道如何在 Impresspages cms 中禁用 CSRF 功能。我在之前的帖子中看到了一个可能的答案，但没有完全分类。当我的客户在 cleanwaterpartnership.co.uk
django - CSRF 失败 : CSRF token missing or incorrect
我正在使用 Django 1.7 和 django-rest-framework。我制作了一个 API，它返回一些 JSON 数据并将其放入我的 settings.py REST_FRAMEWORK

首页

博学

6Ren·AI

商城

Django跨域请求CSRF的方法示例