Django CSRF认证的几种解决方案


Posted in Python onMarch 03, 2020

什么是CSRF

浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。浏览器的同源策略并不能阻止CSRF攻击,因为浏览器不会停止js发送请求到服务端,只是在必要的时候拦截了响应的内容。或者说浏览器收到响应之前它不知道该不该拒绝。

攻击过程

用户登陆A网站后,攻击者自己开发一个B网站,这个网站会通过js请求A网站,比如用户点击了某个按钮,就触发了js的执行。

防止攻击

  • Double Submit Cookie

攻击者是利用cookie随着http请求发送的特性来攻击。但攻击者不知道 cookie里面是什么。

Django中是在表单中加一个隐藏的 csrfmiddlewaretoken,在提交表单的时候,会有 cookie 中的内容做比对,一致则认为正常,不一致则认为是攻击。由于每个用户的 token 不一样,B网站上的js代码无法猜出token内容,对比必然失败,所以可以起到防范作用。

  • Synchronizer Token

和上面的类似,但不使用 cookie,服务端的数据库中保存一个 session_csrftoken,表单提交后,将表单中的 token 和 session 中的对比,如果不一致则是攻击。

这个方法实施起来并不困难,但它更安全一些,因为网站即使有 xss 攻击,也不会有泄露token的问题。

Django使用CsrfViewMiddleware中间件进行CSRF校验,默认开启防止csrf(跨站点请求伪造)攻击,在post请求时,没有携带csrf字段,导致校验失败,报403错误。那么我们如何解决这种403错误呢?

解决方法

1. 去掉项目的CSRF验证

Django CSRF认证的几种解决方案

注释掉此段代码即可,但是不推荐此方式,将导致我们的网站完全无法防止CSRF攻击。

2. 前端表单中增加csrf信息

<form enctype="multipart/form-data" method="post" action="{% url 'add_data' %}">
  {% csrf_token %}
</form>

一定要注意后端使用render而不要使用render_to_response进行渲染,这样前端就会有csrf_token变量,前端cookies中也会出现csrftoken数据,然后在HTML中使用即可。这种方式只限制在form表单中使用,ajax请求不支持。

3. 指定请求去掉CSRF校验

可以只针对指定的路由去掉CSRF校验,这也分为两种情况:

FBV:以函数实现路由处理

# 导入,可以使此次请求忽略csrf校验
from django.views.decorators.csrf import csrf_exempt

# 在处理函数加此装饰器即可
@csrf_exempt
def add_data(request):
  result = {}
  # TODO

  return HttpResponse(result)

CBV:以类实现路由处理

from django.views import View
from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator


class IndexView(View):
  @method_decorator(csrf_exempt)
  def dispatch(self, request, *args, **kwargs):
    return super().dispatch(request, *args, **kwargs)

  def get(self, request, *args, **kwargs):
    return render(request, 'home.html')

  def post(self, request, *args, **kwargs):
    data = request.POST.get('data')
    qr_path = gen_qrcode(data)
    return HttpResponse(qr_path)

或者用下面的方式,把装饰器放在类外面

from django.views import View
from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator


@method_decorator(csrf_exempt, name='dispatch')
class IndexView(View):
  def get(self, request, *args, **kwargs):
    return render(request, 'home.html')

  def post(self, request, *args, **kwargs):
    data = request.POST.get('data')
    qr_path = gen_qrcode(data)
    return HttpResponse(qr_path)

4. 为所有请求添加csrf校验数据(推荐)

以上方式都有限制,适用范围比较窄,我们需要一种可以一劳永逸的方式:让所有请求都携带csrf数据。因为我们是使用Django模板渲染前端页面的,所以一般会先定义一个base.html,其他页面通过{% extends "base.html" %}来引入使用,那么在base.html中添加ajax的全局钩子,在请求时添加csrf数据即可。

<!DOCTYPE html>
<html>
<head>
  <meta charset="utf-8">
  <title>{% block title %}首页{% endblock %}</title>
  <link rel="stylesheet" href="{% static 'css/base.css'%}">
  <script src="https://cdn.bootcss.com/jquery/3.4.1/jquery.min.js"></script>
  <script>
    $.ajaxSetup({
      data: {
        csrfmiddlewaretoken: '{{ csrf_token }}'
      }
    })
  </script>
  {% block css %}
  {% endblock %}
</head>
<body>

到此这篇关于Django CSRF认证的几种解决方案的文章就介绍到这了,更多相关Django CSRF认证 内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木!

Python 相关文章推荐
python定时检查启动某个exe程序适合检测exe是否挂了
Jan 21 Python
Python使用xlrd模块操作Excel数据导入的方法
May 26 Python
详解Python中表达式i += x与i = i + x是否等价
Feb 08 Python
Python yield与实现方法代码分析
Feb 06 Python
python实现聚类算法原理
Feb 12 Python
pandas or sql计算前后两行数据间的增值方法
Apr 20 Python
python 分离文件名和路径以及分离文件名和后缀的方法
Oct 21 Python
详解Python3 基本数据类型
Apr 19 Python
将python文件打包成EXE应用程序的方法
May 22 Python
python django model联合主键的例子
Aug 06 Python
Django rest framework jwt的使用方法详解
Aug 08 Python
Python编程快速上手——疯狂填词程序实现方法分析
Feb 29 Python
python实现电子词典
Mar 03 #Python
python关于变量名的基础知识点
Mar 03 #Python
python生成13位或16位时间戳以及反向解析时间戳的实例
Mar 03 #Python
python 插入日期数据到Oracle实例
Mar 02 #Python
Python datetime 格式化 明天,昨天实例
Mar 02 #Python
Python MySQL 日期时间格式化作为参数的操作
Mar 02 #Python
记一次pyinstaller打包pygame项目为exe的过程(带图片)
Mar 02 #Python
You might like
解析PHP函数array_flip()在重复数组元素删除中的作用
2013/06/27 PHP
微信公众号点击菜单即可打开并登录微站的实现方法
2014/11/14 PHP
php从数组中随机选择若干不重复元素的方法
2015/03/14 PHP
PHP版本常用的排序算法汇总
2015/12/20 PHP
PHP中使用jQuery+Ajax实现分页查询多功能操作(示例讲解)
2017/09/17 PHP
php实现微信公众号创建自定义菜单功能的实例代码
2019/06/11 PHP
PHP Swoole异步读取、写入文件操作示例
2019/10/24 PHP
js捕获鼠标右键菜单中的粘帖事件实现代码
2013/04/01 Javascript
js获取GridView中行数据的两种方法 分享
2013/07/13 Javascript
Jquery实现Div上下移动示例
2014/04/23 Javascript
js点击返回跳转到指定页面实现过程
2020/08/20 Javascript
Vue中定义全局变量与常量的各种方式详解
2017/08/23 Javascript
JS排序算法之冒泡排序,选择排序与插入排序实例分析
2017/12/13 Javascript
vue自动化表单实例分析
2018/05/06 Javascript
node.js之基础加密算法模块crypto详解
2018/09/11 Javascript
nodejs异步编程基础之回调函数用法分析
2018/12/26 NodeJs
基于form-data请求格式详解
2019/10/29 Javascript
vue实现把接口单独存放在一个文件方式
2020/08/13 Javascript
Vue项目配置跨域访问和代理proxy设置方式
2020/09/08 Javascript
Python字典操作简明总结
2015/04/13 Python
Django 数据库同步操作技巧详解
2019/07/19 Python
python shutil文件操作工具使用实例分析
2019/12/25 Python
通过 Python 和 OpenCV 实现目标数量监控
2020/01/05 Python
python发qq消息轰炸虐狗好友思路详解(完整代码)
2020/02/15 Python
利用Vscode进行Python开发环境配置的步骤
2020/06/22 Python
python subprocess pipe 实时输出日志的操作
2020/12/05 Python
ECCO爱步官方旗舰店:丹麦鞋履品牌
2018/01/02 全球购物
英国领先的电子、技术和办公用品购物网站:Ebuyer
2018/04/04 全球购物
YBF Beauty官网:美丽挚友,美国知名彩妆品牌
2020/11/22 全球购物
信息系统专业个人求职信范文
2013/12/07 职场文书
迟到检讨书400字
2014/01/13 职场文书
人事专员职责
2014/02/22 职场文书
学校法制宣传日活动总结
2014/11/01 职场文书
2015年社区工会工作总结
2015/05/26 职场文书
学习社交礼仪心得体会
2016/01/22 职场文书
解决numpy数组互换两行及赋值的问题
2021/04/17 Python