Python djanjo之csrf防跨站攻击实验过程

一.CSRF简介

1. CSRF是什么？
   CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。
2. CSRF可以做什么？
   你这可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发本文来源gaodai#ma#com搞@@代~&码*网2送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账…造成的问题包括：个人隐私泄露以及财产安全。
3. CSRF漏洞现状？
   CSRF这种攻击方式在2000年已经被国外的安全人员提出，但在国内，直到06年才开始被关注，08年，国内外的多个大型社区和交互网站分别爆出CSRF漏洞，如：NYTimes.com（纽约时报）、Metafilter（一个大型的BLOG网站），YouTube和百度HI…而现在，互联网上的许多站点仍对此毫无防备，以至于安全业界称CSRF为“沉睡的巨人”。
   引用自：https://blog.gaodaima.com/qq_21956483/article/details/78116094

二.CSRF(Web表单提交)

web表单下设置CSRF标签可以有效防止CSRF跨站攻击(如下图)

{% csrf_token %}

如果不设置该表单，那么在访问web页面时会禁止访问(如下图)

应对禁止访问，其实也有很多办法，其中一个办法就是将配置文件(settings.py)中的csrf的中间件儿拿掉，这样原来禁止访问的页面也可以成功访问，但这种做法风险是非常大的，出于安全考虑，不推荐这样做

另一种办法是在视图层加一个装饰器（@csrf_exempt），实现局部不检测，换句话说，就是即使不在web表单中添加csrf标签，只要加了装饰器，也能成功访问页面，需要注意的是仅限加了装饰器的内容，其他不加装饰器的代码还是禁止访问的状态

三.CSRF(Web表单提交)实验

接着我们就着上面说的内容用代码演示一遍：

首先，在app下的urls.py文件下配置一个子路由

from django.urls import path, re_path
from App import views

urlpatterns = [
    # csrf测试
    path('register/',views.register,name = 'register'),
]

接着，编写视图函数

def register(request):
    if request.method == "POST": # 如果该请求为POST请求
        username = request.POST.get('username') # 获取表单中的username
        password = request.POST.get('password') # 获取表单中的password
        print(username,password) # 打印username，password
    return render(request,'register.html') # 渲染模版，返回给web register.html中的内容

web表单(未设置csrf标签)

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>注册</title>
</head>
<body>
<form ation="" method="post">
    用户名：<input type="text" name="username"><br>
    密码：<input type="text" name="password"><br>
    <input type="submit">
</form>
</body>
</html>

此时开启服务(python manage.py runserver 8090)后，访问web页面，会显示禁止访问的字样

喜欢 (0)赏

[搞代码]

分享 (0)