csrf(跨站请求伪造)

时间:2020-12-04 17:56:50

一:csrf到底是什么:

  csfr(cross-site request forgery)跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网址。

  具体步骤:

    第一步:登陆正常网站,获取到cookie

    第二步:在没有保存cookie的情况下登陆了黑客网站

    第三步:进行一系列数据操作之后,黑客网站把受益方换作第三方账号,在向正常网站的服务器发出请求(由于携带cookie,正常网站默认合法)

二:csrf攻击防范:

    在正常的网站的form表单中,加入一个隐藏的特殊字符串,后端记下该页面对应的字符串的值,等带用户post请求发过来的时候,先去校验特殊字符串是否匹配。

    在html文件中:

<form action="" method="post">
{#    加入特殊字符串的固定写法#}
    {% csrf_token %}
    <p>username:<input type="text" name="username"></p>
    <p>password:<input type="password" name="password"></p>
    <input type="submit">
</form>

    在view.py中又两种用法:

      一种是在注释掉:'django.middleware.csrf.CsrfViewMiddleware'之后主动保护某个功能:

from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_protect
def index2(request):
    return HttpResponse('ok')

      一种是在没有注释掉:'django.middleware.csrf.CsrfViewMiddleware',取消某个功能的保护状态:

from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_exempt
def index1(request):
    return HttpResponse('ok')

  需要注意的是,FBV与CBV的不同:

    csrf-protect:跟正常的FBV一样

    csrf-exempt:只能又下面的两种方式

from django.utils.decorators import method_decorator

@method_decorator(csrf_exempt,name='dispatch')  # 第一种
class Index3(View):
    # @method_decorator(csrf_exempt)   # 第二种
    def dispatch(self, request, *args, **kwargs):
        super().dispatch(request,*args,**kwargs)

    def get(self,request):
        return HttpResponse('get')

    def post(self,request):
        return HttpResponse('post')

    ps:csrf-exempt不能局部禁用,只能全局禁用。