标签:跨站 csrf post 31 Django html CSRF login assetinfo
CSRF
CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。CSRF指***者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。
CSRF示意图如下:
如果想防止CSRF,首先是重要的信息传递都采用POST方式而不是GET方式,接下来就说POST请求的***方式以及在Django中的避免。
示例
下面开启两个Django服务,来模拟一下***过程。
首先来构建第一个Django项目
1)打开assetinfo/views.py文件,创建视图login,login_check, post和post_action。
def login(reqeust):
return render(reqeust, 'assetinfo/login.html')
def login_check(request):
username = request.POST.get('username') #获取用户名
password = request.POST.get('password') #获取密码
# 校验
if username == 'smart'and password == '123':
request.session['username'] = username #记住登录用户名
request.session['islogin'] = True#判断用户是否已登录
return redirect('/assetinfo/post/')
else:
return redirect('/assetinfo/login/')
def post(request):
return render(request, 'assetinfo/post.html')
def post_action(request):
if request.session['islogin']:
username = request.session['username']
return HttpResponse('用户'+username+'发了一篇帖子')
else:
return HttpResponse('发帖失败')
2)打开assetinfo/urls.py文件,配置url。
urlpatterns = [
# ex:/assetinfo/login
path('login/', views.login),
# ex:/assetinfo/login_check
path('login_check/', views.login_check),
# ex:/assetinfo/post
path('post/', views.post),
# ex:/assetinfo/post_action
path('post_action/', views.post_action),
]
3)在templates/assetinfo/目录下创建login.html和post.html。
login.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>用户登录</title>
</head>
<body>
<form method="post" action="/assetinfo/login_check/">
用户名:<input type="text" name="username"/><br/>
密码:<input type="password" name="password"/><br/>
<input type="submit" value="提交"/>
</form>
</body>
</html>
post.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>发帖页面</title>
</head>
<body>
<form method="post" action="/assetinfo/post_action/">
标题:<input type="text" name="title"/><br/>
内容:<textarea name="content"></textarea>
<input type="submit" value="发帖"/>
</form>
</body>
</html>
4)启动运行服务器。
python3 manage.py runserver
5)在浏览器中输入如下网址,将这个标签称为网站A。
http://127.0.0.1:8000/assetinfo/login/
浏览效果如下图:
输入账号、密码,登录之后,进入发帖页面,如下:
6)下面使用Django第二个项目来模拟另外一个网站,创建post.html,复制templates/assetinfo/post.html内容,并修改action路径。
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>B网站模拟请求页面</title>
</head>
<body>
<form method="post" action="http://127.0.0.1:8000/assetinfo/post_action/">
标题:<input type="text" name="title"/><br/>
内容:<textarea name="content"></textarea>
<input type="submit" value="发帖"/>
</form>
</body>
</html>
7)在windows中浏览器查看效果如下图,将这个标签称为网站B。
8)Django项目中默认启用了csrf保护,现在先禁用,打开第一个项目中的mysite/settings.py文件,注释掉csrf中间件。
9)点击浏览器的第一个标签即网站A,点击"发帖"按钮后如下图:
10)点击浏览器的第二个标签即网站B,点击“发帖”按钮后如下图:
通过action直接访问网站A的地址,成功执行发帖。
对比上面两个步骤,发现无论从网站A还是网站B都可以访问网站A的post_action视图,这就是不安全的。
防止CSRF
1)Django提供了csrf中间件用于防止CSRF***,只需要在网站A的mysite/settings.py中启用csrf中间件即可。
要注意,Django 2 开始开启中间件不是默认生产的MIDDLEWARE_CLASSES中编写,需要写到MIDDLEWARE中,如下:
MIDDLEWARE = (
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
)
2)回到windows浏览器中,分别在网站A、网站B中点击“提交”按钮,效果一样,如下图:
3)这下麻烦了,因为网站A自己也不能访问了,接下来templates/assetinfo/post.html内容,在form表单中使用标签csrf_token。
{% csrf_token %}
4)回到windows浏览器中,在网站A中点击“提交”按钮,效果如下图:
5)回到windows浏览器中,在网站B中点击“提交”按钮,效果如下图:
好了,Django中成功完成CSRF防护。
总结
- 重要信息如金额、积分等,采用POST方式传递
- 启用CSRF中间件,默认启用
- 在form表单中post提交时加入标签csrf_token
保护原理
加入标签后,可以查看post.html的源代码,发现多了一个隐藏域。
在浏览器的“开发者工具”中查看cookie信息。
说明:当启用中间件并加入标签csrf_token后,会向客户端浏览器中写入一条Cookie信息,这条信息的值与隐藏域input元素的value属性是一致的,提交到服务器后会先由csrf中间件进行验证,如果对比失败则返回403页面,而不会进行后续的处理。
标签:跨站,csrf,post,31,Django,html,CSRF,login,assetinfo 来源: https://blog.51cto.com/u_11239407/2920426
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。