开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Django CSRF "Referer畸形“...但事实并非如此

Django CSRF "Referer畸形"是指在Django框架中的跨站请求伪造（CSRF）保护机制中，当请求的Referer头部字段值异常时，可能导致CSRF验证失败的情况。

CSRF是一种常见的网络安全攻击，攻击者通过伪造用户的请求，利用用户的身份执行恶意操作。为了防止CSRF攻击，Django引入了CSRF保护机制。该机制通过在表单中添加CSRF令牌，并验证请求中的令牌是否匹配，来确保请求的合法性。

在Django的CSRF保护机制中，Referer是用于检查请求来源的一个重要字段。当请求的Referer头部字段值异常时，可能会触发CSRF验证失败，即出现"Referer畸形"的情况。

"Referer畸形"可能是由于请求的Referer头部字段值被篡改、缺失或者不符合预期的格式等原因引起的。这种情况下，Django的CSRF保护机制会拒绝该请求，以防止潜在的CSRF攻击。

为了解决"Referer畸形"问题，可以尝试以下几种方法：

检查请求的Referer头部字段值是否被篡改或者缺失，确保其完整性和正确性。
检查请求的Referer头部字段值是否符合预期的格式，例如是否包含正确的域名信息。
在Django的配置文件中，可以通过设置CSRF_TRUSTED_ORIGINS参数来指定可信任的Referer来源，从而允许来自这些来源的请求通过CSRF验证。

需要注意的是，CSRF保护机制仅仅是防止跨站请求伪造攻击的一种手段，还应结合其他安全措施来提高系统的安全性，例如使用HTTPS协议传输数据、使用安全的身份验证机制等。

推荐的腾讯云相关产品：腾讯云Web应用防火墙（WAF）。腾讯云WAF是一款基于云计算和大数据分析的Web应用安全防护服务，可以有效防御各类Web攻击，包括CSRF攻击。它提供了全面的Web安全防护能力，包括实时防护、漏洞修复、恶意请求拦截等功能，可以帮助用户保护Web应用的安全。

更多关于腾讯云WAF的信息，请访问：腾讯云WAF产品介绍

相关搜索:"req.user“似乎无法解析，但事实并非如此 Datetime说我的时间格式有误，但事实并非如此 hugo报告端口1313已在使用中。但事实并非如此我的EventWaitHandle说"拒绝访问路径",但事实并非如此字符串看似是一个空格字符，但事实并非如此 Git推送说“一切都是最新的”，但事实并非如此 SQL查询总是告诉我缺少一个右括号，但事实并非如此我相信Java是高度安全的,但事实证明并非如此.哪个是对的？vue js和strapi - console表示属性未定义，但事实并非如此-它呈现在页面上 "CUDA驱动程序版本不足以支持CUDA运行时版本“-但事实并非如此 Pandas df重新排序列似乎可以在循环中工作，但事实并非如此。我到底错过了什么？python中的递归函数看起来超出了作用域，但事实并非如此。我错过了什么？这个无状态迭代器应该是一个没有条件语句的无限循环，但事实并非如此在我的方法中，变量被设置为false，一旦方法运行，它应该更改为True。但事实并非如此

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Python进阶34-Django 中间件

是的，确实如此，但你不能保证以下情况不会发生： 1.你不能保证你登录了一个网站后，不再打开一个tab页面并访问另外的网站。...（事实上，关闭浏览器不能结束一个会话，但大多数人都会错误的认为关闭浏览器就等于退出登录/结束会话了......） 3.上图中所谓的攻击网站，可能是一个存在其他漏洞的可信任的经常被人访问的网站。...如果 Referer 是其他网站的话，则有可能是黑客的 CSRF 攻击，拒绝该请求。...事实上，对于某些浏览器，比如 IE6 或 FF2，目前已经有一些方法可以篡改 Referer 值。...但这种方法的难点在于如何把 token 以参数的形式加入请求。

1.8K2 0

CSRF 跨站请求伪造

事实上，对于某些浏览器，比如 IE6 或 FF2，目前已经有一些方法可以篡改 Referer 值。...但这种方法的难点在于如何把 token 以参数的形式加入请求。...Django 中处理CSRF csrf是针对与post请求的才会做验证几种处理方式 csrf_token 用于form表单中，作用是跨站请求伪造保护。...注释掉中间件'django.middleware.csrf.CsrfViewMiddleware'【不推荐】 Form表单中 {%...这里使用装饰器就可以解决~ 两个装饰器可用： csrf_protect: 需要验证 csrf_exempt：不需要验证装饰器的使用方法按照FBV或者CBV装饰器的使用方法即可导入：from django.views.decorators.csrf

1.1K2 0

django 取消csrf限制的实例

# 导入包 from django.views.decorators.csrf import csrf_exempt # 使用装饰器即可避免csrf限制 @csrf_exempt def add_bookshelf...前后端分离跨域AJAX获取csrftoken及获取cookie时遇到的问题获取CSRFTOKEN Django的中间件’django.middleware.csrf.CsrfViewMiddleware...', 'django.middleware.csrf.CsrfViewMiddleware', 'corsheaders.middleware.CorsPostCsrfMiddleware', 有些博客中使用该中间件替代...django.middleware.csrf.CsrfViewMiddleware是不可行的，因为该中间件并没有期望中csrf校验的功能，下面为该中间件的源代码。..._https_referer_replace_reverse(request) return None 以上这篇django 取消csrf限制的实例就是小编分享给大家的全部内容了，希望能给大家一个参考

8661 0

CSRF 原理与防御案例分析

本文作者：Yunen（信安之路新晋作者） CSRF，也称 XSRF，即跨站请求伪造攻击，与 XSS 相似，但与 XSS 相比更难防范，是一种广泛存在于网站中的安全漏洞，经常与 XSS 一起配合攻击。...Referer 头，当 https 向 http 进行跳转时，使用 Html 标签(如 img、iframe) 进行 CSRF 攻击时，请求头是不会带上 Referer 的，可以达到空 Referer...5) 防御实例：Django 的 CSRF 防御机制新建个 Django 项目，打开项目下的 settings.py 文件，可以看到这么一行代码：django.middleware.csrf.CsrfViewMiddleware...这个就是 Django 的 CSRF 防御机制，当我们发送 POST 请求时 Django 会自动检测 CSRF_Token 值是否正确。...4) 目前 CSRF 形势就目前而言，CSRF 这个沉睡的巨人颇有一番苏醒的意味，可导致的危害也正在逐步的为人们所知，但目前仍有许多开发人员还没有足够的安全意识，以为只要验证 Cookie 就能确定用户的真实意图了

2.3K3 0

Cookie-Form型CSRF防御机制的不足与反思

这是一个很标准的CSRF防御方法，也很难找出其破绽。但这个方法有个致命的弱点：Session。...所以，像Django之类的Python框架，会选择基于Cookie的CSRF防御方式。...但找这种地方比较难，没有什么特别的方法，可遇而不可求。第二种，就看知乎那个案例吧。...0x04 Web Server解析Cookie的特性第四种，就是利用Google Analytics来绕过Django的CSRF防御方式。...这次Django的Cookie注入也类似。

1.4K1 0

Django CSRF Bypass (CVE-2016-7401) 漏洞分析

在两年前有研究人员在hackerone上提交了一个利用Google Analytics来绕过Django的CSRF防护机制的漏洞(CSRF protection bypass on any Django...2.漏洞影响网站满足以下三个条件的情况下攻击者可以绕过Django的CSRF防护机制：使用Google Analytics来做数据统计使用Django作为Web框架使用基于Cookie的CSRF...我们再来看看Django的CSRF防护机制，默认CSRF防护中间件是开启的，我们访问http://127.0.0.1:8000/check/，点击Check然后抓包： ?...也就是Django对check.html中的{% csrf_token %}所赋的值。...这就用到了我们上面说的Django处理cookie的漏洞，当我们设置Referer为http://x.com/hello]csrftoken=world，GA设置的cookie如下： __utmz=123456.123456789.11.2

1.8K5 0

XSS、CSRFXSRF、CORS介绍「建议收藏」

似乎很多 Web 开发框架、模版引擎的开发者也发现了这一点，Django 内置模版和 Jinja2 模版总是默认转义输出变量的。...建议在使用模版引擎的 Web 项目中，开启（或不要关闭）类似 Django Template、Jinja2 中“默认转义”（Auto Escape）的功能。...XSS是实现 CSRF 的诸多途径中的一条，但绝对不是唯一的一条。...但验证码并不是万能的，因为出于用户考虑，不能给网站所有的操作都加上验证码。因此，验证码只能作为防御 CSRF 的一种辅助手段，而不能作为最主要的解决方案。...因此，要防御 CSRF 攻击，只需要对于每一个删帖请求验证其 Referer 值，如果是以 www.c.com 开头的域名，则说明该请求是来自网站自己的请求，是合法的。

1.3K2 0

必掌握的安全隐患--之CSRF攻击

是的，确实如此，但你不能保证以下情况不会发生： 1.你不能保证你登录了一个网站后，不再打开一个tab页面并访问另外的网站。...（事实上，关闭浏览器不能结束一个会话，但大多数人都会错误的认为关闭浏览器就等于退出登录/结束会话了......） 3.上图中所谓的攻击网站，可能是一个存在其他漏洞的可信任的经常被人访问的网站。...事实上，对于某些浏览器，比如IE6 或 FF2，目前已经有一些方法可以篡改 Referer 值。...但这种方法的难点在于如何把 token 以参数的形式加入请求。...目前几种防御策略虽然可以很大程度上抵御 CSRF 的攻击，但并没有一种完美的解决方案。

5943 0

保护ASP.NET 应用免受 CSRF 攻击

是的，确实如此，但你不能保证以下情况不会发生：　　1.你不能保证你登录了一个网站后，不再打开一个tab页面并访问另外的网站。　　...（事实上，关闭浏览器不能结束一个会话，但大多数人都会错误的认为关闭浏览器就等于退出登录/结束会话了......）　　3.上图中所谓的攻击网站，可能是一个存在其他漏洞的可信任的经常被人访问的网站。...如果 Referer 是其他网站的话，则有可能是黑客的 CSRF 攻击，拒绝该请求。...事实上，对于某些浏览器，比如 IE6 或 FF2，目前已经有一些方法可以篡改 Referer 值。...但这种方法的难点在于如何把 token 以参数的形式加入请求。

1.2K7 0

保护ASP.NET 应用免受 CSRF 攻击

是的，确实如此，但你不能保证以下情况不会发生：　　1.你不能保证你登录了一个网站后，不再打开一个tab页面并访问另外的网站。　　...（事实上，关闭浏览器不能结束一个会话，但大多数人都会错误的认为关闭浏览器就等于退出登录/结束会话了……）　　3.上图中所谓的攻击网站，可能是一个存在其他漏洞的可信任的经常被人访问的网站。...如果 Referer 是其他网站的话，则有可能是黑客的 CSRF 攻击，拒绝该请求。...事实上，对于某些浏览器，比如 IE6 或 FF2，目前已经有一些方法可以篡改 Referer 值。...但这种方法的难点在于如何把 token 以参数的形式加入请求。

6471 0

Django 中间件

如下：其中Web A为存在CSRF漏洞的网站，Web B为攻击者构建的恶意网站，User C为Web A网站的合法用户 CSRF攻击防范: 1.验证HTTP Referer字段 2.在请求地址中添加token...全局禁用:注释掉中间件 'django.middleware.csrf.CsrfViewMiddleware', 局部禁用:使用装饰器,导入from django.views.decorators.csrf...import csrf_exempt,csrf_protect 在FBV中使用: from django.views.decorators.csrf import csrf_exempt,csrf_protect...') 在CBV中使用: # CBV中使用 from django.views import View from django.views.decorators.csrf import csrf_exempt...,csrf_protect from django.utils.decorators import method_decorator # CBV的csrf装饰器，只能加载类上（指定方法为dispatch

1K2 0

Spring Security 的 CSRF 的相关资料

（事实上，关闭浏览器不能结束一个会话，但大多数人都会错误的认为关闭浏览器就等于退出登录/结束会话了…）所谓的攻击网站，可能是一个存在其他漏洞的可信任的经常被人访问的网站。...检查Referer字段 HTTP头中有一个Referer字段，这个字段用以标明请求来源于哪个地址。在处理敏感数据请求时，通常来说，Referer字段应和请求的地址位于同一域名下。...而如果是CSRF攻击传来的请求，Referer字段会是包含恶意网址的地址，不会位于bank.example.com之下，这时候服务器就能识别出恶意的访问。...但这种办法也有其局限性，因其完全依赖浏览器发送正确的Referer字段。虽然http协议对此字段的内容有明确的规定，但并无法保证来访的浏览器的具体实现，亦无法保证浏览器没有安全漏洞影响到此字段。...并且也存在攻击者攻击某些浏览器，篡改其Referer字段的可能。

5932 0

Spring Security 的 CSRF 的相关资料

（事实上，关闭浏览器不能结束一个会话，但大多数人都会错误的认为关闭浏览器就等于退出登录/结束会话了…）所谓的攻击网站，可能是一个存在其他漏洞的可信任的经常被人访问的网站。...检查Referer字段HTTP头中有一个Referer字段，这个字段用以标明请求来源于哪个地址。在处理敏感数据请求时，通常来说，Referer字段应和请求的地址位于同一域名下。...而如果是CSRF攻击传来的请求，Referer字段会是包含恶意网址的地址，不会位于bank.example.com之下，这时候服务器就能识别出恶意的访问。...但这种办法也有其局限性，因其完全依赖浏览器发送正确的Referer字段。虽然http协议对此字段的内容有明确的规定，但并无法保证来访的浏览器的具体实现，亦无法保证浏览器没有安全漏洞影响到此字段。...并且也存在攻击者攻击某些浏览器，篡改其Referer字段的可能。

5852 0

CSRF 攻击详解

在訪问危急站点B的之前，你已经登录了银行站点A，而B中的一个合法的请求，但这里被不法分子利用了）。...如果 Referer 是其他网站的话，则有可能是黑客的 CSRF 攻击，拒绝该请求。...事实上，对于某些浏览器，比如 IE6 或 FF2，目前已经有一些方法可以篡改 Referer 值。...验证Referer方式总结优点：使用方便，开发简单，一定程度上能预防CSRF攻击；缺点：这种机制完全依托于浏览器，Referer字段容易被故意篡改，或者被禁用。 2....token 从 session 中拿出，与请求中的 token 进行比对，但这种方法的难点在于如何把 token 以参数的形式加入请求。

3.1K2 0

CSRF攻击与防御

CSRF漏洞检测：检测CSRF漏洞是一项比较繁琐的工作，最简单的方法就是抓取一个正常请求的数据包，去掉Referer字段后再重新提交，如果该提交还有效，那么基本上可以确定存在CSRF漏洞...如果 Referer 是其他网站的话，则有可能是黑客的 CSRF 攻击，拒绝该请求。...事实上，对于某些浏览器，比如 IE6 或 FF2，目前已经有一些方法可以篡改 Referer 值。...因此，用户自己可以设置浏览器使其在发送请求时不再提供 Referer。当他们正常访问银行网站时，网站会因为请求没有 Referer 值而认为是 CSRF 攻击，拒绝合法用户的访问。...但这种方法的难点在于如何把 token 以参数的形式加入请求。

1.1K2 0

CSRF攻击与防御（写得非常好）「建议收藏」

CSRF漏洞检测：检测CSRF漏洞是一项比较繁琐的工作，最简单的方法就是抓取一个正常请求的数据包，去掉Referer字段后再重新提交，如果该提交还有效，那么基本上可以确定存在CSRF漏洞...如果 Referer 是其他网站的话，则有可能是黑客的 CSRF 攻击，拒绝该请求。...事实上，对于某些浏览器，比如 IE6 或 FF2，目前已经有一些方法可以篡改 Referer 值。...因此，用户自己可以设置浏览器使其在发送请求时不再提供 Referer。当他们正常访问银行网站时，网站会因为请求没有 Referer 值而认为是 CSRF 攻击，拒绝合法用户的访问。...但这种方法的难点在于如何把 token 以参数的形式加入请求。

4910 0

Django中间件看完这篇彻底明白

', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware...', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware...这个很明显就是我们Django框架的csrf验证了，主要是process_view中的处理，从函数处理我们可以看到以下几点： request请求中包含csrf_processing_done属性，则不进行...csrf验证视图函数中包含csrf_exempt属性，则不进行csrf验证如果是GET、HEAD、OPTIONS、TRACE请求，则不进行csrf验证 request请求中包含_dont_enforce_csrf_checks...属性，则不进行csrf验证 https请求头中如果不包含HTTP_REFERER，则拒绝访问请求头中不包含CSRF_COOKIE，则拒绝访问 POST请求中携带csrfmiddlewaretoken参数

3.9K2 0

Web 安全总结(面试必备良药)

发起 CSRF 攻击的三个必要条件：目标站点一定要有 CSRF 漏洞；用户要登录过目标站点，并且在浏览器上保持有该站点的登录状态；需要用户打开一个第三方站点，如黑客的站点等。...但如果在第三方站点中使用 Post 方法，或者通过 img、iframe 等标签加载的 URL，这些场景都不会携带 Cookie。...Referer 是 HTTP 请求头中的一个字段，记录了该 HTTP 请求的来源地址，而O rigin 属性只包含了域名信息，并没有包含具体的 URL 路径。...这是 Origin 和 Referer 的一个主要区别。服务器的策略是优先判断 Origin，如果请求头中没有包含 Origin 属性，再根据实际情况判断是否使用 Referer 值。...SQL注入拼接 SQL 时未仔细过滤，黑客可提交畸形数据改变语义。比如查某个文章，提交了这样的数据id=-1 or 1=1等。

9762 0

一文了解CSRF漏洞

上有个工具autoFindXssAndCsrf 5、CSRF的防御（1）验证 HTTP Referer 字段根据 HTTP 协议，在 HTTP 头中有一个字段叫 Referer，它记录了该 HTTP...如果 Referer 是其他网站的话，则有可能是黑客的 CSRF 攻击，拒绝该请求。...事实上，对于某些浏览器，比如IE6 或 FF2，目前已经有一些方法可以篡改 Referer 值。...因此，用户自己可以设置浏览器使其在发送请求时不再提供 Referer。当他们正常访问银行网站时，网站会因为请求没有 Referer 值而认为是 CSRF 攻击，拒绝合法用户的访问。...但这种方法的难点在于如何把 token 以参数的形式加入请求。

8922 0

安全|常见的Web攻击手段之CSRF攻击

一、CSRF介绍 CSRF攻击的全称是跨站请求伪造（ cross site request forgery)，是一种对网站的恶意利用，尽管听起来跟XSS跨站脚本攻击有点相似，但事实上CSRF与XSS差别很大...当然POST并不是万无一失，攻击者只要构造一个form就可以，但需要在第三方页面做，这样就增加暴露的可能性。...如果攻击者要对银行网站实施CSRF攻击，他只能在其他网站构造请求，当用户通过其他网站发送请求到银行时，该请求的Referer的值是其他网站的地址，而不是银行转账页面的地址。...因此，要防御CSRF攻击，银行网站只需要对于每一个转账请求验证其Referer值即可，如果是以www.xx.om域名开头的地址，则说明该请求是来自银行网站自己的请求，是合法的；如果Referer是其他网站...取得HTTP请求Referer： String referer = request.getHeader("Referer"); 二、总结 CSRF攻击是攻击者利用用户的身份操作用户帐户的一种攻击方式，

2.1K8 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭