Loading [MathJax]/jax/output/CommonHTML/config.js
文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
返回腾讯云官网
社区首页 >问答首页 >关于Django的CSRF保护的问题

关于Django的CSRF保护的问题
EN

Stack Overflow用户
提问于 2011-05-20 00:49:05
回答 2查看 693关注 0票数 7

文档中有一个解释here,但我还有一些额外的问题。

为什么需要专用的CSRF cookie?

如果Django不使用特定于事务的随机数,为什么不要求在POST请求主体中嵌入会话ID呢?

为什么CSRF随机数要绑定到会话ID?Django会这样做吗?

This webpage似乎暗示CSRF现时值需要绑定到会话ID (例如,CSRF现时值=会话ID的键控散列)。为什么会这样呢?Django是否将其CSRF nonce绑定到会话ID?

为什么Django使用独立于会话的随机数而不是特定于事务的随机数?

是否出于性能方面的考虑?直观地说,特定于事务的随机数本质上似乎更安全。

django
security
csrf
EN

回答 2

Stack Overflow用户

回答已采纳

发布于 2011-08-13 16:51:31

CSRF保护和会话具有不同的性质,因此将它们放在单个cookie中会使其更难维护。

以下是一些不同点:

  1. 你可以在不使用会话的情况下使用CSRF保护。
  2. 你可能想在会话开始之前使用CSRF (即.您不希望在用户登录之前启动会话,因为性能原因,但您希望使用CSRF).
  3. Sometimes保护您的联系人表单您想要删除会话cookie,但可能从不删除CSRF。单个浏览器会话需要
  4. CSRF保护(直到您关闭浏览器),但会话可能会持续甚至数周。
  5. 您可能希望有跨域会话,但可能永远不需要跨域CSRF。
票数 4
EN

Stack Overflow用户

发布于 2021-07-17 05:41:40

  1. CSRF是一种用于web应用程序的身份验证令牌。
  2. 它用于阻止CSRF会话使用会话,也可以使用基于CSRF令牌的身份验证系统。

有关CSRF的更多信息,请阅读以下链接。https://docs.djangoproject.com/en/3.2/ref/csrf/

票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/6066404

复制
相关文章
关于Django上线后的CSRF问题
djangocsrf表单跨域搜索
首先在宝塔上安装Python项目管理器,采用如下配置,能够快速搭建Django项目。
TomatoCool
2023/07/30
2560
关于Django上线后的CSRF问题
django csrf 验证问题及 csrf 原理
网络安全djangoajax官方文档
1. 直接请求接口,拿到 csrf_token,设置路由为 /get_csrf_token
卓越笔记
2023/02/18
1.2K0
Django 安全之跨站点请求伪造(CSRF)保护
django
默认的CSRF中间件在MIDDLEWARE中定义并处于激活状态。如果需要变更默认配置,修改settings.py中的MIDDLEWARE配置即可,如下,假设要开启CSRF,确保列表包含 'django.middleware.csrf.CsrfViewMiddleware',并且其位置位于其它会对CSRF攻击进行处理的中间件之前,假设要禁用CSRF中间件,去掉列表中的'django.middleware.csrf.CsrfViewMiddleware',或者采用注释方式,把 'django.middleware.csrf.CsrfViewMiddleware' 注释掉。注意:更改配置后需要重启web服务器。
授客
2020/09/08
1.2K0
Laravel CSRF 保护
laravel网站csrf表单浏览器
跨站点请求伪造(英语:Cross-site request forgery)是一种恶意利用,利用这种手段,代表经过身份验证的用户执行未经授权的命令。值得庆幸的是,Laravel 可以轻松保护您的应用程序免受跨站点请求伪造(CSRF)攻击。
崔哥
2023/04/30
1.5K0
Django的csrf防御机制
htmldjango网络安全
Html页面的表单没有完全使用Django的form进行渲染,故Js不能使用$('#ClassID').serialize()来获取Csrf和Data,然后报错CSRF token missing or incorrect.
cywhat
2022/11/22
3280
Django的csrf防御机制
谈谈Django的CSRF插件的漏洞
网络安全djangohttphtml
今年十月份我的第二本书《基于Django的电子商务网站设计》出版了,在这本书中我不仅介绍了如何利用Django框架搭建电子商务网站,也论述了如何利用python的requests类对所创建的电子商务产品进行接口测试。在书写极乐口测试代码过程中,我遇到的最大的困难就是如何通过测试程序绕过Django的防止CSRF攻击的插件,通过近一个多月的努力我终于解决了这个问题,但是同时也揭露了Django框架的防止CSRF攻击的插件的漏洞。首先我们来看一下什么是CSRF攻击。
顾翔
2019/12/11
1.2K0
谈谈Django的CSRF插件的漏洞
Django进阶之CSRF
django
coders
2018/01/04
1.1K0
Django进阶之CSRF
Django CSRF认证的几种解决方案
网络安全安全djangohtmlajax
浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。浏览器的同源策略并不能阻止CSRF攻击,因为浏览器不会停止js发送请求到服务端,只是在必要的时候拦截了响应的内容。或者说浏览器收到响应之前它不知道该不该拒绝。
星星在线
2020/05/22
2K0
Django 中配置CSRF防御
imagepng
image.png
用户5760343
2022/05/14
2550
Django 中配置CSRF防御
axios django CSRF 403错误
http网络安全
使用axios直接post django的接口的时候会提示CSRF 403错误 可以在post的data中转入csrftoken 也可以给单个方法关闭 from django.views.decorators.csrf import csrf_exempt,csrf_protect @csrf_exempt def test(request): pass
小贝壳
2020/03/05
1.4K0
关于JSON CSRF的一些思考
安全漏洞json
关于JSON CSRF的一些思考 From ChaMd5安全团队核心成员 Maple CSRF作为常见漏洞,一直受到关注和研究,JSON是一种应用广泛的轻量级数据交换格式,当CSRF去POST一段JSON,情况可能会变得有些不一样;此次就一种特殊情况下的CSRF进行分析,权当抛砖引玉。 某次遇到一个没有验证token与referer的CSRF。 其原始数据包为: POST /webnet/edit HTTP/1.1 Host: www.xxx.com User-Agent: Mozilla/5.0 (Wi
ChaMd5安全团队
2018/03/29
1.3K0
关于JSON CSRF的一些思考
Django 代码保护
pythondjangohttpsweb.py网络安全
django发布的需要以服务运行,通过其他的几种方法来实现保护,都不太现实。所以发布可以通过cython的方式实现。
obaby
2023/02/22
1.1K0
CSRF跨站请求伪造保护demo
网络安全http编程算法
CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。
henu_Newxc03
2022/05/05
4940
CSRF跨站请求伪造保护demo
解决Django+Vue前后端分离的跨域问题及关闭csrf验证
其他
  在Django和Vue前后端分离的时候也会遇到跨域的问题,因为刚刚接触Django还不太了解,今天花了好长的时间,查阅了好多资料现在解决了这个问题,记录一下。
lin_zone
2018/10/10
1.8K0
保护ASP.NET 应用免受 CSRF 攻击
https黑客网络安全安全arm
  CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也存在着 CSRF 漏洞,从而被黑客攻击而使 Gmail 的用户造成巨大的损失。
全栈程序员站长
2022/07/05
6550
保护ASP.NET 应用免受 CSRF 攻击
保护ASP.NET 应用免受 CSRF 攻击
安全安全漏洞github
CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,
张善友
2018/01/19
1.2K0
保护ASP.NET 应用免受 CSRF 攻击
关于CSRF漏洞的一次有趣的交互
cookiegetiframepost漏洞
在一次项目中,挖掘了一些CSRF漏洞,将细节提交给客户后,发生了一些有趣的交互,这里简单的先把他叫为薛定谔的CSRF,对其深入了解了一下,且听我细细道来。
雪痕@
2023/03/18
4790
关于CSRF漏洞的一次有趣的交互
点击加载更多

相似问题

Django + Caddy = CSRF保护问题

123

Django中的CSRF保护

30

CSRF保护问题

11

关于CSRF的问题

10

Django图书过期的CSRF保护

20
添加站长 进交流群

领取专属 10元无门槛券

AI混元助手 在线答疑

扫码加入开发者社群
关注 腾讯云开发者公众号

洞察 腾讯核心技术

剖析业界实践案例

扫码关注腾讯云开发者公众号
领券
社区富文本编辑器全新改版!诚邀体验~
全新交互,全新视觉,新增快捷键、悬浮工具栏、高亮块等功能并同时优化现有功能,全面提升创作效率和体验

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
查看详情【社区公告】 技术创作特训营有奖征文