详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
2018-10-09 11:03
861 查看
一、在django后台处理
1、将django的setting中的加入django.contrib.messages.middleware.MessageMiddleware,一般新建的django项目中会自带的。
MIDDLEWARE_CLASSES = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.auth.middleware.SessionAuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', ]
2、在templete的html页的from中添加{% csrf %},后台重定向语法如下:
return render_to_response(xxx.html', context_instance=RequestContext(request))
二、前端处理
对所有的ajax请求加上以下语句:
$(function () { $.ajaxSetup({ data: {csrfmiddlewaretoken: '{{ csrf_token }}'}, }); })
这样向后台的请求都会带django生成的那个csrf_token值。中间件csrf模块会截取判断csrf_token值是否一致,如果一致则请求合法。
三、对于ajax的复杂对象,例如[{"id":"001","name":"小明"},{"id":"002","name":"小军"}].,后台post的处理
必须将这种对象转化为json格式传到后台,后台在反序列化即可。(不要用ajax的其他序列化格式,其深度序列化后,django后台解析比较困难)
contentType不需要指定utf-8,否则post解析出错
四、csrf攻击与预防
csrf利用session和cookie的时效性进行攻击。他会获取请求的cookie,在session时效内进行请求。因此对于重要信息,重要功能进行单次请求处理。即请求一次失效。
例如:请求头中加入验证token信息,用完即失效。django的中间件csrf_token就是此原理防止的。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。
您可能感兴趣的文章:
相关文章推荐
- django用jquery的ajax提交表单,中间件的CsrfViewMiddleware问题
- Django教程笔记之中间件middleware详解
- 利用Django中间件middleware解决用户未登录问题(转)
- 详解如何在spring boot中使用spring security防止CSRF攻击
- xss 和 csrf攻击详解
- Spring MVC中防止csrf攻击的拦截器示例
- java使用jsp servlet来防止csrf 攻击的实现方法
- 如何防止CSRF注入式攻击
- Html.AntiForgeryToken() 防止CSRF攻击 的AJaX应用
- MVC Html.AntiForgeryToken() 防止CSRF攻击 --MVC笔记
- ASP.NET MVC中防止跨站请求攻击(CSRF)
- Nginx防止流量攻击的配置详解
- MVC Html.AntiForgeryToken() 防止CSRF攻击
- MVC Html.AntiForgeryToken() 防止CSRF攻击
- 浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法
- Django CSRF_TOKEN跨域攻击处理
- 防止跨站请求伪造(CSRF)攻击 和 防重复提交 的方法的实现
- MVC Html.AntiForgeryToken() 防止CSRF攻击
- MVC Html.AntiForgeryToken() 防止CSRF攻击
- ASP.NET MVC4/5 - Ajax 防止 CSRF攻击