1 ) django中預設開啟csrf中介軟體。settings.py檔案中:
middleware_classes =
('django.contrib.sessions.middleware.sessionmiddleware'
,'django.middleware.common.commonmiddleware'
,'django.middleware.csrf.csrfviewmiddleware'
,# django預設啟用了csrf防護,只針對post提交
'django.contrib.auth.middleware.authenticationmiddleware'
,'django.contrib.auth.middleware.sessionauthenticationmiddleware'
,'django.contrib.messages.middleware.messagemiddleware'
,'django.middleware.clickjacking.xframeoptionsmiddleware'
,'django.middleware.security.securitymiddleware'
,)
1 ) 渲染模板檔案時在頁面生成乙個名字叫做csrfmiddlewaretoken的隱藏域。
2 ) 伺服器交給瀏覽器儲存乙個名字為csrftoken的cookie資訊。
3 ) 提交表單時,兩個值都會發給伺服器,伺服器進行比對,如果一樣,則csrf驗證通過,否則失敗。
CSRF攻擊原理
假設a.cn這個 是乙個xx管理系統,我只有這個系統的普通使用者的賬戶,這個賬戶功能很有限,沒有管理員賬戶的許可權大,只有管理員賬戶能新增其它的管理員賬戶,我在使用這個 的過程中發現這個 在新增管理員的時候沒有驗證碼或者token驗證,只需要輸入賬號和密碼就可以新增管理員了,這樣的話意味著可以被cs...
CSRF攻擊原理
csrf cross site request forgery 跨站請求偽造,也被稱為 one click attack 或者session riding,通常縮寫為csrf或者xsrf,是一種對 的惡意利用。儘管聽起來像跨站指令碼 xss 但它與xss非常不同,xss利用站點內的信任使用者,而cs...
防止CSRF攻擊
2.新增校驗token。前端發出請求時,加入從後端返回的token欄位的值 不能儲存在cookie中 攻擊者無法偽造的值 如果token不正確,不通過請求。3.設定 cookie 的samesite屬性 lax 相對嚴格模式,大多數情況下不傳送 cookie,導航到目標 的 get 請求除外。請求型...