Django | 从中间件的角度理解跨站请求伪造(Cross-Site Request Forgey)[CSRF攻击]

文章目录

切入点

某些恶意网站上包含链接、表单按钮或者]avaScript,它们会利用登录过的用户在浏览器中的认证信息试图在你的网站上完成某些操作

  • Gjango如何做?

存储暗号:html页面一个 ||| COOKIE 一个

Django在一定的运算下比对两个暗号 是一致的 就不会发生403错

我们通过一个案例来理解

案例测试

确保CSRF中间件功能已经启动

views.py测试代码

python 复制代码
def test_csrf(request):
    if request.method == 'GET':
        return render(request, 'test_csrf.html')
    elif request.method == 'POST':
        return HttpResponse('---test post is ok---')

templates模板下的html文件

  • 注意此时 html没有暗号
html 复制代码
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>test_csrf</title>
</head>
<body>

    <form action="/test_csrf" method="post">

        <input type="text"  name="username">
        <input type="submit"  value="提交">

    </form>
</body>
</html>

配置路由

path('test_csrf',views.test_csrf),

运行服务 出现CSRF报错

python manage.py runserver

  • 网页查看

    网页报错403,CSRF验证失败,同时给出了我们具体的解决方案

解决CRSF报错

  • html添加暗号
html 复制代码
    <form action="/test_csrf" method="post">
        {% csrf_token %}   
        <input type="text"  name="username">
        <input type="submit"  value="提交">

    </form>

{% csrf_token %}是CRSF能否验证通过 的关键

再次运行服务 查看结果

  • 检查查看cookie
  • 查看html界面源码

    出现暗号 但是隐藏了
    到这里,你应该进一步理解了CSRF攻击的原理了吧
相关推荐
小宁爱Python1 小时前
Django 基础入门:命令、结构与核心配置全解析
后端·python·django
tangweiguo030519872 小时前
基于 Django 与 Bootstrap 构建的现代化设备管理平台
后端·django·bootstrap
编程自留地5 小时前
18.4 查看订单
python·django·商城
tangweiguo0305198713 小时前
Django REST Framework 构建安卓应用后端API:从开发到部署的完整实战指南
服务器·后端·python·django
jc062014 小时前
4.1-中间件之Redis
数据库·redis·中间件
BYSJMG15 小时前
计算机毕设选题:基于Python+MySQL校园美食推荐系统【源码+文档+调试】
大数据·开发语言·python·mysql·django·课程设计·美食
计算机学姐1 天前
基于Python的旅游数据分析可视化系统【2026最新】
vue.js·后端·python·数据分析·django·flask·旅游
gongzemin1 天前
Django入门2--设置数据库 admin
python·django
KimLiu1 天前
LCODER之Python:使用Django搭建服务端
后端·python·django
lingggggaaaa1 天前
小迪安全v2023学习笔记(八十讲)—— 中间件安全&WPS分析&Weblogic&Jenkins&Jetty&CVE
笔记·学习·安全·web安全·网络安全·中间件·wps