Django(part42)--跨站请求伪造

原创

GoatGui 2022-06-03 00:24:08 博主文章分类：python ©著作权

文章标签 python csrf 中间件 django html 文章分类 Python 后端开发

©著作权归作者所有：来自51CTO博客作者GoatGui的原创作品，请联系作者获取转载授权，否则将追究法律责任

学习笔记，仅供参考，有错必纠

文章目录

中间件Middleware

跨站请求伪造

防护方案
举个例子

中间件Middleware

跨站请求伪造

跨站请求伪造攻击

某些恶意网站上包含链接、表单按钮或者JavaScript，它们会利用登录过的用户在浏览器中的认证信息，试图在我们的网站上完成某些操作，这就是跨站请求伪造。

CSRF

Cross-Site Request Forgey
跨     站点   请求    伪装

CSRF中间件和模板标签提供了对跨站请求伪造的简单防护，它可以防止其它表单提交到我们的Django 服务器中。

防护方案

取消 csrf 验证(不推荐)

删除(注释)settings.py文件中的MIDDLEWARE列表里的 django.middleware.csrf.CsrfViewMiddleware 的中间件。

开放验证

在视图处理函数增加@csrf_protect装饰器

@csrf_protect
def post_views(request):
    pass

通过验证(最常用)

在我们的表单中添加一个标签

{% csrf_token %}

举个例子

我们先打开settings.py，并打开CSRF中间件的注释：

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
#    'mymiddleware.checklogin.MyMiddleWare',
#    'mymiddleware.checklogin.VisitLimit',
]

我们向登录界面http://127.0.0.1:8000/userinfo/login/发起请求，并进行登录操作，点击登录后，网页产生了403错误(没有请求权限)：

Django(part42)--跨站请求伪造_django

它提示我们CSRF token丢失或不正确。

现在，为了能够成功提交数据，我们需要在提交表单的模板中增加一个标识符：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登陆</title>
</head>
<body>
<form action="/userinfo/login/" method="POST">
    {% csrf_token %}
    <div>
        <lable>用户名</lable>
        <input type="text" name="username"
               value="{{ username }}">
    </div>
    <div>
        <lable>密码</lable>
        <input type="password" name="password">
    </div>
    <div>
        <lable for="id_remember">记住密码</lable>
        <input type="checkbox" name="remember" id="id_remember"
                value="1">
    </div>
    <div>
        <input type="submit" value="登陆">
    </div>

</form>

</body>
</html>

现在，我们再次对登录界面http://127.0.0.1:8000/userinfo/login/发起请求，并进行登录：

Django(part42)--跨站请求伪造_django_02

可以看到，我们正常登录了。

我们查看一下登录界面的网页源代码：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登陆</title>
</head>
<body>
<form action="/userinfo/login/" method="POST">
    <input type="hidden" name="csrfmiddlewaretoken" value="7azE5TZgsdRF6BqkN9jlfBZgtJOx0fvQhdBZETEEo2DATMStYJoY6GY8vWSQi9Pp">
    <div>
        <lable>用户名</lable>
        <input type="text" name="username"
               value="">
    </div>
    <div>
        <lable>密码</lable>
        <input type="password" name="password">
    </div>
    <div>
        <lable for="id_remember">记住密码</lable>
        <input type="checkbox" name="remember" id="id_remember"
                value="1">
    </div>
    <div>
        <input type="submit" value="登陆">
    </div>

</form>

</body>
</html>

我们发现CSRF token标签自动生成了一个input标记：

<input type="hidden" name="csrfmiddlewaretoken" value="7azE5TZgsdRF6BqkN9jlfBZgtJOx0fvQhdBZETEEo2DATMStYJoY6GY8vWSQi9Pp">

value参数后的字符串是Django服务器提供给我们的密钥。如果提交的表单中没有带这串密钥，或者提供的密钥和Django给我们的不一致，则不会提交成功，这就起到了防护作用，防止其他网站恶意提交给我们数据。

友情提示

当我们在settings.py中设置了CSRF中间件，并在form表单中增加了CSRF token标签。那么，如果不是我们服务器发布的表单，而是其他网站发布的表单向我们提交数据，那么将不会提交成功。

上一篇：GIT项目管理工具(part1)--简介及概念

下一篇：GIT项目管理工具(part5)--查看commit 日志记录

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯