Django信息安全相关之CSRF和XSS

Posted Python

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Django信息安全相关之CSRF和XSS相关的知识,希望对你有一定的参考价值。

什么是xss攻击

xss攻击:

黑客把恶意的JS脚本提交到后端,后端把恶意脚本渲染显示出来    

什么是CSRF?

1、你登录建行官网后 你的浏览器就保存了建行网站的cokie,(如果不关闭这个页面cookie一直生效,就可以发送任何请求)专门在cappron试了一下;

2、与此同时你 点了其他恶意页面(CSRF攻击的条件)

3、这个页面携带着你的cokie 伪造你 向到招商银行提交 一个转账form表单你就傻逼了!

(问题关键:登录某网站之后有了cokie,就可以发送任何请求;这时候最危险)


如何防止CSRF攻击

服务端端开启 csrf认证之后,

客户端发送get请求 要form表单时,在里面加上{% csrf_token %}一个随机字符串

客户端收到这个 带随机字符串的 form表单之后

客户端在向服务端 发post请求(不仅要有cokie还检查这个from表单是不是携带{% csrf_token %})
(不要以为有了cokie就可以随意发送 post请求了!)


说白了就是:服务端生成随机字符串发给客户端,下次客户端来了要检查他的这个随机字符串;


{% csrf_token %}{#
<QueryDict: {‘csrfmiddlewaretoken‘: [‘Vk4rQ7L3d2stscFgHq7lKWTWSEcZrIRAAw3QJv6G2FLopBVJb7sONVbiP9aqDjgj‘], ‘user‘: [‘我‘], ‘pwd‘: [‘q‘], ‘gender‘: [‘1‘], ‘login‘: [‘yes‘]}>

 

Django应用CSRF

1.服务端全部禁用CSRF验证

在项目的setings文件把这个 中间件注释掉

‘django.middleware.csrf.CsrfViewMiddleware‘,

 

2、局部使用

免除FBV的 CRFS验证

from django.views.decorators.csrf import csrf_exempt
@csrf_exempt(免除)
def login(request):
    if request.method==GET:
        return render(request,login.html)
    else:
        print(request.POST)
        return HttpResponse(OK)

要求FBV使用CRFS验证

from django.views.decorators.csrf import csrf_exempt,csrf_protect

@csrf_protect(保护)
def login(request):
    if request.method==GET:
        return render(request,login.html)
    else:
        print(request.POST)
        return HttpResponse(OK)

 

3、CBV应用CSRF验证

要想在CBC局部使用或者禁用CRF验证就必须 导入method_decorator(方法装饰)

from django.utils.decorators import method_decorator
@method_decorator(csrf_exempt,name=dispatch)
class login(View):
    def get(self,request):
        return render(request,login.html)

    def post(self,request):
        return HttpResponse("ok")

 

4、from表单添加CSRFtocken

 

{% csrf_token %}

 

 

 

Ajax应用CSRF

如果服务端开启了CSRF验证,客户端就发送post请求就必须携带 服务端给的CSRF
那问题来了如果发 ajanx请求呢?

答案:客户端发送 get请求时,服务端会把CSRF tocken放在form表单中(隐藏的input标签)发送给客户端

如果客户端再发post请求给服务端找到这个标签,name="csrfmiddlewaretoken"发送给服务端

<script src="/static/zhanggen.js"></script>
</head>
<body>
<h1>欢迎来到百合网</h1>
<form>
    
{#        服务端开启csrf认证#}
    <p>用户:<input type="text" name="user" ></p>
    <p>密码:<input type="password" name="pwd"></p>
    <p>
        性别:男:<input type="radio" name="gender" value="1" b="1">
              女:<input type="radio" name="gender" value="2">
    </p>
    <p><input type="checkbox" name="login" value="yes" zhanggen="1">一周免登录</p>
    <input type="button" value="提交" onclick="a()">
</form>
</body>
<script>
    function a(){
        tocken=$([name="csrfmiddlewaretoken"]).val()
        $.ajax({
            url:/login/,
            type:POST,
            data:{csrfmiddlewaretoken:tocken},
        或者这样data:{csrfmiddlewaretoken:{{csrf_token}}},最后福建小伙向淫王一问
        })
    }
</script>
</html>

 

2、如果没有from表单携带CSRF的话,不要忘了CSRF的随机字符串也会放在cookie里面哦!!


导入<script src="/static/jquery.cookie.js"></script>

如果是在cookie里面 获取的 CSRF tocken(记号)就不能放在 ajax的请求体里面了

放在请求头里,而且必须以这个格式(headers:{‘X-CSRFToken‘:tocken},) 这是Django规定

 

 

注意cookie里的 CSRF tocken和 from表单里的不一样

 function a() {
     var tocken=$.cookie(‘csrftoken‘)
     $.ajax({
            url:‘/login/‘,
            type:‘POST‘,
            headers:{‘X-CSRFToken‘:tocken},
            data:{‘name‘:‘aa‘},
        })
    }

</script>
</html>

 

以上是关于Django信息安全相关之CSRF和XSS的主要内容,如果未能解决你的问题,请参考以下文章

无相劫指:Web安全之其他漏洞专题二-第八天

前端安全-XSS和CSRF

web安全之XSS和CSRF

前端安全之XSS和csrf攻击

前端XSS相关整理

前端XSS相关整理