Django CSRF跨站請求偽造防護過程解析
前言
CSRF全稱Cross-site request forgery(跨站請求偽造)�,是一種網絡的攻擊方式��,也被稱為“One Click Attack”或者Session Riding���,通?��?s寫為CSRF或者XSRF�����。
攻擊原理
1��、用戶訪問正常的網站A����,瀏覽器就會保存網站A的cookies�。
2����、用戶在訪問惡意網站B��, 網站B上有某個隱藏的鏈接會自動請求網站A的鏈接地址���,例如表單提交����,傳指定的參數��。
3��、惡意網站B的自動化請求����,執行就是在用戶A的同一個瀏覽器上�����,因此在訪問網站A的時候�����,瀏覽器會自動帶上網站A的cookies���。
4����、所以網站A在接收到請求之后�����,可判斷當前用戶登錄狀態����,所以根據用戶的權限做具體的操作邏輯����。
防范措施
1����、在指定表單或者請求頭的里面添加一個隨機值做為參數��。
2�����、在響應的cookie里面也設置該隨機值����。
3�、用戶正常提交表單的時候會默認帶上表單中的隨機值�,瀏覽器會自動帶上cookie里面的隨機值��,那么服務器下次接受到請求之后就可以取出兩個值進行校驗��。
4���、對于網站B來說網站B在提交表單的時候不知道該隨機值是什么���,所以就形成不了攻擊��。
Django中CSRF中間件
django在創建項目的時候���,默認就會有添加中間進行CSRF的保護��,在MIDDLEWARE可以看到加載了 django.middleware.csrf.CsrfViewMiddleware 的中間件�����,這里是全局設置�,也可以局部設置��。
全局保護:直接啟用中間件就可以了����。
局部保護: from django.views.decorators.csrf import csrf_exempt,csrf_protect ���,使用裝飾器進行驗證����。
csrf_protect :為當前函數強制設置防跨站請求偽造功能�����,即便settings中沒有設置全局中間件����;
csrf_exempt :取消當前函數防跨站請求偽造功能�,即便settings中設置了全局中間件�。
驗證
在POST請求提交數據的時候�����,django會去檢查是否有一個csrf的隨機字符串��,如果沒有就會返回403沒有權限訪問�。
表單驗證
在form表單里面需要添加{%csrf_token%}����,Django會自動渲染隱藏的input輸入框:
<input type="hidden" name="csrfmiddlewaretoken" value="2Sb0DQwDVgOQ8i3n1BaG1MUPLEYr6ZGaCLYa14maOQM0Ami5ddQOR6hfXuD2mrmA">
在表單提交的時候�����,中間件會驗證csrfmiddlewaretoken�。
通過ajax提交
通過cookies獲取到csrftoken��,
function getCookie(name) {
var r = document.cookie.match("\\b" + name + "=([^;]*)\\b");
return r ? r[1] : undefined;
}
$.ajax({
url:"/api/v1.0/orders",
type:"POST",
data: JSON.stringify(data),
contentType: "application/json",
dataType: "json",
headers:{
"X-CSRFtoken":getCookie("csrf_token"),
},
局部禁用或者啟用
1�、如果是函數視圖��,可以直接在函數加上裝飾器即可:
from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_exempt
def login(request):
if request.method == 'GET':
return render(request,'login.html')
else:
return HttpResponse('ok')
2�、如果是類視圖�,需要使用方法裝飾器進行封裝
from django.utils.decorators import method_decorator
from django.views.decorators.csrf import csrf_exempt,csrf_protect
from django.views.generic import TemplateView
@method_decorator(csrf_exempt)
class LoginView(TemplateView):
template_name = 'login.html'
def post():
return HttpResponse('ok')
3�、直接裝飾as_view()方式����,在URLconf里面設置����。
from django.views.decorators.csrf import csrf_exempt,csrf_protect
urlpatterns = [
path('login/', csrf_exempt(LoginView.as_view()),name="login"),
]
以上就是本文的全部內容�����,希望對大家的學習有所幫助����,也希望大家多多支持億速云���。
