Python djanjo之csrf防跨站攻击实验过程

作者：小色米虫_524 | 2022-10-14 15:56

csrf攻击，即crosssiterequestforgery跨站(域名)请求伪造，这里的forgery就是伪造的意思。这篇文章主要给大家介绍了关于Pythondjanjo之csrf防跨站攻击的相关资料,需要的朋友可以参考下

一.CSRF简介

CSRF是什么？
CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。
CSRF可以做什么？
你这可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账…造成的问题包括：个人隐私泄露以及财产安全。
CSRF漏洞现状？
CSRF这种攻击方式在2000年已经被国外的安全人员提出，但在国内，直到06年才开始被关注，08年，国内外的多个大型社区和交互网站分别爆出CSRF漏洞，如：NYTimes.com（纽约时报）、Metafilter（一个大型的BLOG网站），YouTube和百度HI…而现在，互联网上的许多站点仍对此毫无防备，以至于安全业界称CSRF为“沉睡的巨人”。
引用自：https://blog.csdn.net/qq_21956483/article/details/78116094

二.CSRF(Web表单提交)

web表单下设置CSRF标签可以有效防止CSRF跨站攻击(如下图)

{% csrf_token %}

如果不设置该表单，那么在访问web页面时会禁止访问(如下图)

应对禁止访问，其实也有很多办法，其中一个办法就是将配置文件(settings.py)中的csrf的中间件儿拿掉，这样原来禁止访问的页面也可以成功访问，但这种做法风险是非常大的，出于安全考虑，不推荐这样做

另一种办法是在视图层加一个装饰器（@csrf_exempt），实现局部不检测，换句话说，就是即使不在web表单中添加csrf标签，只要加了装饰器，也能成功访问页面，需要注意的是仅限加了装饰器的内容，其他不加装饰器的代码还是禁止访问的状态

三.CSRF(Web表单提交)实验

接着我们就着上面说的内容用代码演示一遍：

首先，在app下的urls.py文件下配置一个子路由

from django.urls import path, re_path
from App import views

urlpatterns = [
    # csrf测试
    path('register/',views.register,name = 'register'),
]

接着，编写视图函数

def register(request):
    if request.method == "POST": # 如果该请求为POST请求
        username = request.POST.get('username') # 获取表单中的username
        password = request.POST.get('password') # 获取表单中的password
        print(username,password) # 打印username，password
    return render(request,'register.html') # 渲染模版，返回给web register.html中的内容

web表单(未设置csrf标签)




    
    注册



    用户名：

    密码：

此时开启服务(python manage.py runserver 8090)后，访问web页面，会显示禁止访问的字样

那么接下来我们在web表单中设置csrf标签

{% csrf_token %}




    
    注册



    {# 防止跨站攻击 #}
    {% csrf_token %}
    用户名：

    密码：

再来访问web页面，发现用户名，密码可以正常提交，且表单中会多一个csrf隐式伪随机数

CSRF攻击是源于WEB的隐式身份验证机制！WEB的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器，但却无法保证该请求是用户批准发送的！

CSRF防御机制思路是在客户端页面增加伪随机数即可实现比较有效的跨站攻击防御

四.CSRF(ajax提交)

ajax提交，需要在html中添加以下内容

🌈1 引用jquery

🌈2 添加防止跨站攻击标签

🌈3 添加ajax提交用button

🌈4 添加ajax




    
    注册
    {# 🌈1 引用jquery #}
    




















    

    
        
            
            
                
                    
                
            

            
                小色米虫_524            

            
                这个屌丝很懒，什么也没留下！            
            
            

                                
                    
                    关注作者
                            

        
    


    
        Tags | 热门标签
        
            
                                
                    actionscrip
                
                                
                    bash
                
                                
                    c#
                
                                
                    c++
                
                                
                    c语言
                
                                
                    erlang
                
                                
                    flutter
                
                                
                    go
                
                                
                    golang
                
                                
                    java
                
                                
                    javascript
                
                                
                    lua
                
                                
                    node.js
                
                                
                    perl
                
                                
                    php
                
                                
                    python
                
                                
                    scala
                
                                
                    typescript
                
                                
            
        
    


    
        RankList | 热门文章
        
            
                                
                    1401在访问资源时未经授权以编程方式创建azure应用程序
                
                                
                    2ReSharper自定义模式与多个成员定义不明确
                
                                
                    3批量分配问题
                
                                
                    4添加Controller时SpringDataRest @RepositoryEventHandler未运行
                
                                
                    5如何使用Visual Studio的Node Tools调试Gulp任务？
                
                                
                    6Flask/uWSGI抛出错误无法加载app 0(mountpoint ='')
                
                                
                    7令人困惑的考试复习说明,java
                
                                
                    8解构深层属性
                
                                
                    9您如何访问已传递给CompletableFuture allOf的已完成期货？
                
                                
                    10AdMob：使用测试横幅广告无法从任何Mediaton广告网络中填充广告
                
                                
                    11新的React Native项目与旧版本的本机反应
                
                                
                    12使用重置初始化unique_ptr是一个坏习惯吗？
                
                                
                    13EntityFramework 6.1.3不支持visual studio 2015上的框架.NETPlatform,Version = v5.4
                
                                
                    14使用CSS从焦点选项卡中删除发光边框
                
                                
                    15使用IIf语法错误
                
                                
                    16结合ggplot2和d3(gridSVG教程导致非交互式图像)
                
                                
                    17Python Selenium发送密钥给出关于大小的警告
                
                                
                    18平均行长超出可能
                
                                
                    19减少潜在的空RDD
                
                                
                    20如何将MDL按钮样式应用于filePicker？

DevBox开发工具箱 | 专业的在线开发工具网站