表單提交:
需要做的事情:
1.在cookie中設定csrf_token(沒有),而是sessionid(鑰匙,裡面session空間中儲存的是未加密的csrf_token),(伺服器完成)
2.在表單中設定隱藏的csrf_token(手動設定)
校驗流程:
1.通過sessionid取出伺服器內部未加密的csrf_token
2.獲取表單中的加密的csrf_token,然後secret_key解密得到未加密的
然後比較二者!!
非表單提交:
1.在cookie中設定csrf_token,為了給header使用 ,加密的(手動)
2.在cookie中設定sessionid(鑰匙,裡面session空間中儲存的是未加密的csrf_token),(伺服器完成)
校驗過程:
1.通過sessionid取出伺服器內部未加密的csrf_token
2.獲取請求頭中的加密的csrf_token,然後secret_key解密得到未加密的
然後比較二者!!
啟動保護之後:
會對post,put,delete,patch型別的請求做校驗
get: 主要用來獲取資源
post: 主要修改建立伺服器資源
CSRF 校驗CONTENT TYPE繞過
利用方式 http remote ip csrf test.swf?jsondata php url http remote ip csrf test.php endpoint https attacted ip dm user?timestamp 1558073429923 remote ip 放...
csrf驗證機制
csrf 跨站請求偽造 csrf 英文全稱為 cross site request forgery csrf 通常指惡意攻擊者盜用使用者的名義,傳送惡意請求,嚴重洩露個人資訊危害財產的安全 csrf攻擊示意圖 解決csrf攻擊 使用csrf token校驗 1.客戶端和瀏覽器向後端傳送請求時,後端往...
Django 的 CSRF 保護機制理解
用 django 有多久,我跟 csrf 這個概念打交道就有久了。但是一直我都是知其然而不知其所以然,沒有把 csrf 的機制弄清楚。昨天稍微研究了一下,總結如下。你的 會以為這個請求是使用者自己發來的,其實呢,這個請求是那個惡意 偽造的。具體的細節及其危害見 wikipedia django 第一...