亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Django CSRF認證的幾種解決方案

發布時間:2020-09-24 05:37:14 來源:腳本之家 閱讀:174 作者:鄧尚星 欄目:開發技術

什么是CSRF

瀏覽器在發送請求的時候,會自動帶上當前域名對應的cookie內容,發送給服務端,不管這個請求是來源A網站還是其它網站,只要請求的是A網站的鏈接,就會帶上A網站的cookie。瀏覽器的同源策略并不能阻止CSRF攻擊,因為瀏覽器不會停止js發送請求到服務端,只是在必要的時候攔截了響應的內容。或者說瀏覽器收到響應之前它不知道該不該拒絕。

攻擊過程

用戶登陸A網站后,攻擊者自己開發一個B網站,這個網站會通過js請求A網站,比如用戶點擊了某個按鈕,就觸發了js的執行。

防止攻擊

  • Double Submit Cookie

攻擊者是利用cookie隨著http請求發送的特性來攻擊。但攻擊者不知道 cookie里面是什么。

Django中是在表單中加一個隱藏的 csrfmiddlewaretoken,在提交表單的時候,會有 cookie 中的內容做比對,一致則認為正常,不一致則認為是攻擊。由于每個用戶的 token 不一樣,B網站上的js代碼無法猜出token內容,對比必然失敗,所以可以起到防范作用。

  • Synchronizer Token

和上面的類似,但不使用 cookie,服務端的數據庫中保存一個 session_csrftoken,表單提交后,將表單中的 token 和 session 中的對比,如果不一致則是攻擊。

這個方法實施起來并不困難,但它更安全一些,因為網站即使有 xss 攻擊,也不會有泄露token的問題。

Django使用CsrfViewMiddleware中間件進行CSRF校驗,默認開啟防止csrf(跨站點請求偽造)攻擊,在post請求時,沒有攜帶csrf字段,導致校驗失敗,報403錯誤。那么我們如何解決這種403錯誤呢?

解決方法

1. 去掉項目的CSRF驗證

Django CSRF認證的幾種解決方案

注釋掉此段代碼即可,但是不推薦此方式,將導致我們的網站完全無法防止CSRF攻擊。

2. 前端表單中增加csrf信息

<form enctype="multipart/form-data" method="post" action="{% url 'add_data' %}">
  {% csrf_token %}
</form>

一定要注意后端使用render而不要使用render_to_response進行渲染,這樣前端就會有csrf_token變量,前端cookies中也會出現csrftoken數據,然后在HTML中使用即可。這種方式只限制在form表單中使用,ajax請求不支持。

3. 指定請求去掉CSRF校驗

可以只針對指定的路由去掉CSRF校驗,這也分為兩種情況:

FBV:以函數實現路由處理

# 導入,可以使此次請求忽略csrf校驗
from django.views.decorators.csrf import csrf_exempt

# 在處理函數加此裝飾器即可
@csrf_exempt
def add_data(request):
  result = {}
  # TODO

  return HttpResponse(result)

CBV:以類實現路由處理

from django.views import View
from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator


class IndexView(View):
  @method_decorator(csrf_exempt)
  def dispatch(self, request, *args, **kwargs):
    return super().dispatch(request, *args, **kwargs)

  def get(self, request, *args, **kwargs):
    return render(request, 'home.html')

  def post(self, request, *args, **kwargs):
    data = request.POST.get('data')
    qr_path = gen_qrcode(data)
    return HttpResponse(qr_path)

或者用下面的方式,把裝飾器放在類外面

from django.views import View
from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator


@method_decorator(csrf_exempt, name='dispatch')
class IndexView(View):
  def get(self, request, *args, **kwargs):
    return render(request, 'home.html')

  def post(self, request, *args, **kwargs):
    data = request.POST.get('data')
    qr_path = gen_qrcode(data)
    return HttpResponse(qr_path)

4. 為所有請求添加csrf校驗數據(推薦)

以上方式都有限制,適用范圍比較窄,我們需要一種可以一勞永逸的方式:讓所有請求都攜帶csrf數據。因為我們是使用Django模板渲染前端頁面的,所以一般會先定義一個base.html,其他頁面通過{% extends "base.html" %}來引入使用,那么在base.html中添加ajax的全局鉤子,在請求時添加csrf數據即可。

<!DOCTYPE html>
<html>
<head>
  <meta charset="utf-8">
  <title>{% block title %}首頁{% endblock %}</title>
  <link rel="stylesheet" href="{% static 'css/base.css'%}">
  <script src="https://cdn.bootcss.com/jquery/3.4.1/jquery.min.js"></script>
  <script>
    $.ajaxSetup({
      data: {
        csrfmiddlewaretoken: '{{ csrf_token }}'
      }
    })
  </script>
  {% block css %}
  {% endblock %}
</head>
<body>

到此這篇關于Django CSRF認證的幾種解決方案的文章就介紹到這了,更多相關Django CSRF認證 內容請搜索億速云以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持億速云!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

孝昌县| 拜泉县| 青州市| 达拉特旗| 呼和浩特市| 永清县| 洛南县| 安顺市| 武夷山市| 玉屏| 邵阳县| 和田县| 公主岭市| 扶风县| 大余县| 朝阳区| 白城市| 台中市| 峨山| 青铜峡市| 集安市| 鄂尔多斯市| 潍坊市| 武汉市| 会同县| 沂南县| 浙江省| 泗洪县| 左贡县| 营山县| 芜湖县| 新巴尔虎右旗| 清镇市| 罗源县| 无极县| 宜君县| 梁山县| 太保市| 忻城县| 平顺县| 通化县|