csrf

网页向后端传送数据的时候有两种方式,get和post。通过设置form中的method来达到是否采用get或者是post <form action="/show_all/" method="POST"> 但是django中使用post的话会遇到如下的错误 这个错误的意思是csrf校验失败，request请求被丢弃掉。我们先来了解下什么是csrf。 CSRF, Cross Site Request Forgery, 跨站点伪造请求。举例来讲，某个恶意的网站上有一个指向你的网站的链接，如果某个用户已经登录到你的网站上了，那么当这个用户点击这个恶意网站上的那个链接时，就会向你的网站发来一个请求，你的网站会以为这个请求是用户自己发来的，其实呢，这个请求是那个恶意网站伪造 举个例子： 假如用户abc登录了银行的网站，并且向abc2进行了转账，对银行发送的请求是 http://bank.example/withdraw?account=abc&amount=1000000&for=abc2 . 通常情况下，请求发送到服务器后，服务器会首先验证是否是合法的session，如果是则转账成功。假设黑客也有同样银行的账号。他知道转账的时候会生成如上的请求链接。黑客也可以发送同样的请求给服务器要求转账给自己。但是服务器校验他的这个请求不是合法的session。因此黑客想到了CSRF的方式

网页向后端传送数据的时候有两种方式,get和post。通过设置form中的method来达到是否采用get或者是post <form action="/show_all/" method="POST"> 但是django中使用post的话会遇到如下的错误 这个错误的意思是csrf校验失败，request请求被丢弃掉。我们先来了解下什么是csrf。 CSRF, Cross Site Request Forgery, 跨站点伪造请求。举例来讲，某个恶意的网站上有一个指向你的网站的链接，如果某个用户已经登录到你的网站上了，那么当这个用户点击这个恶意网站上的那个链接时，就会向你的网站发来一个请求，你的网站会以为这个请求是用户自己发来的，其实呢，这个请求是那个恶意网站伪造 举个例子： 假如用户abc登录了银行的网站，并且向abc2进行了转账，对银行发送的请求是 http://bank.example/withdraw?account=abc&amount=1000000&for=abc2 . 通常情况下，请求发送到服务器后，服务器会首先验证是否是合法的session，如果是则转账成功。假设黑客也有同样银行的账号。他知道转账的时候会生成如上的请求链接。黑客也可以发送同样的请求给服务器要求转账给自己。但是服务器校验他的这个请求不是合法的session。因此黑客想到了CSRF的方式

网页向后端传送数据的时候有两种方式,get和post。通过设置form中的method来达到是否采用get或者是post <form action="/show_all/" method="POST"> 但是django中使用post的话会遇到如下的错误 这个错误的意思是csrf校验失败，request请求被丢弃掉。我们先来了解下什么是csrf。 CSRF, Cross Site Request Forgery, 跨站点伪造请求。举例来讲，某个恶意的网站上有一个指向你的网站的链接，如果某个用户已经登录到你的网站上了，那么当这个用户点击这个恶意网站上的那个链接时，就会向你的网站发来一个请求，你的网站会以为这个请求是用户自己发来的，其实呢，这个请求是那个恶意网站伪造 举个例子： 假如用户abc登录了银行的网站，并且向abc2进行了转账，对银行发送的请求是 http://bank.example/withdraw?account=abc&amount=1000000&for=abc2 . 通常情况下，请求发送到服务器后，服务器会首先验证是否是合法的session，如果是则转账成功。假设黑客也有同样银行的账号。他知道转账的时候会生成如上的请求链接。黑客也可以发送同样的请求给服务器要求转账给自己。但是服务器校验他的这个请求不是合法的session。因此黑客想到了CSRF的方式

系统漏洞 描述 CSRF（Cross-Site Request Forgery，跨站点伪造请求）是一种网络攻击方式，该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点，从而在未授权的情况下执行在权限保护之下的操作，具有很大的危害性。具体来讲，可以这样理解CSRF攻击：攻击者盗用了合法用户的身份，以合法用户的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。 防御 CSRF漏洞防御主要从服务端和用户端两个层面进行。 1、服务端的防御 目前主要防御CSRF攻击主要有三种策略：验证HTTP Referer字段，在请求地址中添加token并验证，在HTTP头中自定义属性并验证。 1）验证HTTP Referer字段 根据HTTP协议，在HTTP头中有一个字段叫Referer，它记录了该HTTP请求的来源地址。在通常情况下，访问一个安全受限页面的请求必须来自于同一个网站。 比如某银行的转账是通过用户访问http://bank.test/test?page=10&userID=101&money=10000页面完成，用户必须先登录bank. test，然后通过点击页面上的按钮来触发转账事件。当用户提交请求时

前言 CSRF全称Cross-site request forgery（跨站请求伪造），是一种网络的攻击方式，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A，浏览器就会保存网站A的cookies。 2、用户在访问恶意网站B， 网站B上有某个隐藏的链接会自动请求网站A的链接地址，例如表单提交，传指定的参数。 3、恶意网站B的自动化请求，执行就是在用户A的同一个浏览器上，因此在访问网站A的时候，浏览器会自动带上网站A的cookies。 4、所以网站A在接收到请求之后，可判断当前用户登录状态，所以根据用户的权限做具体的操作逻辑。 防范措施 1、在指定表单或者请求头的里面添加一个随机值做为参数。 2、在响应的cookie里面也设置该随机值。 3、用户正常提交表单的时候会默认带上表单中的随机值，浏览器会自动带上cookie里面的随机值，那么服务器下次接受到请求之后就可以取出两个值进行校验。 4、对于网站B来说网站B在提交表单的时候不知道该随机值是什么，所以就形成不了攻击。 Django中CSRF中间件 django在创建项目的时候，默认就会有添加中间进行CSRF的保护，在MIDDLEWARE可以看到加载了 django.middleware.csrf.CsrfViewMiddleware

一、介绍： 　　 为了网站网站的安全，防止XSS等恶意数据性攻击。Django中提供了一个模块用以提供csrf认证。在使用之前我们先介绍下在Django中csrf的认证原理。 　　　csrf原理：在访问是会先发送一个GET的请求，将自己生成的验证字符串存放在客户端的cookie中，当客户端发送POST请求时，需携带该字符串进行认证。 二.认证方式： 　　 1.客户端直接post请求认证： 　　　　在前端的form表单中直接添加 {% csrf_token %} 便可通过认证 <form action="/login/" method="POST"> {% csrf_token %} <input type="text" name="user" /> <input type="text" name="pwd" /> <input type="submit" value="提交" /> </form> 　　 2.客户端用ajax方式提交认证： 　　　2.1： 在ajax中添加X-CSRFToken的请求头，必须从cookie中取csrftoken的值（对单一ajax请求处理） $.ajax({ type: "POST", url:"/login/", dataType: "json", headers: {'X-CSRFtoken': $.cookie('csrftoken')},