django之跨站请求伪造csrf

目录

• 跨站请求伪造 csrf
  • 钓鱼网站
  • 模拟实现
  • 针对form表单
  • ajax请求
• csrf相关的两个装饰器

跨站请求伪造 csrf

钓鱼网站

就类似于你搭建了一个跟银行一模一样的web页面 , 用户在你的网站转账的时候输入用户名 密码 对方账户

银行里面的钱确实少了 但是发现收款人变了

原理实现:

你写的form表单中 用户的用户名  密码都会真实的提交给银行后台, 但是收款人的账户却不是用户填的 你暴露给用户的是一个没有name属性的input框,  你自己提前写好了一个隐藏的带有name和value的input框。

模拟实现

创建两个django项目

<!--钓鱼网站-->
<p>这是伪造的网站</p>
<form action="http://127.0.0.1:8000/transfer/" method="post">
    <p>username:<input type="text" name="username"></p>
    <p>target_account:<input type="text" name="target_user">
        <input type="text" name="target_user" value="jason" style="display: none">
    </p>
    <p>money:<input type="text" name="money"></p>
    <input type="submit">
</form>

解决钓鱼网站的思路：

只要是用户想要提交post请求的页面，我在返回给用户的时候提前设置好字符串，中间件给前端加上一个隐藏的input框，里面的value就是这个随机字符串。
当用户提交post请求，我会自动先去查找是否有该随机字符串，如果有，正常提交，没有就返回403

在django中 中间件csrf 'django.middleware.csrf.CsrfViewMiddleware',， 它就是来校验有没有随机字符串。

这个中间件的功能：

当你向正规网站发送post请求， 请求来的时候 服务器给你一个随机字符串，响应的时候经过中间件。csrf中间件就会在form表单中找，有没有  <input type="hidden" name="csrfmiddlewaretoken" >， 如果有，就拿着token所对应的值去 给上一次浏览器返回的键去比对，如果比对上了就正常进去，否则403.

针对form表单

以后再写form表单时 ，只要在表单中加上{% csrf_token %}就可以了

<p>这是正经网站</p>
{% csrf_token %}
<form action="" method="post">
    <p>username:<input type="text" name="username"></p>
    <p>target_account:<input type="text" name="target_user"></p>
    <p>money:<input type="text" name="money"></p>
    <input type="submit">
</form>

ajax请求

方式一：

先在页面上任意位置写上 {% csrf_token %}
然后在发送ajax请求的时候，通过标签查找获取随机字符串添加到data自定义对象中即可
data:{'username': 'cwz', 'csrfmiddlewaretoken': $('input[name="csrfmiddlewaretoken"]').val()},

方式二：

data:{'username':'jason','csrfmiddlewaretoken':'{{ csrf_token }}'},

方式三：

利用别人写好的脚本文件

只要在static文件夹中先建一个js文件，存放脚本文件， 然后只需要把js脚本文件导过来即可

脚本文件：

function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');

function csrfSafeMethod(method) {
  // these HTTP methods do not require CSRF protection
  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

$.ajaxSetup({
  beforeSend: function (xhr, settings) {
    if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
      xhr.setRequestHeader("X-CSRFToken", csrftoken);
    }
  }
});

csrf相关的两个装饰器

首先要导入模块

from django.views.decorators.csrf import csrf_exempt, csrf_protect

@csrf_exempt   # 装饰了这个装饰器之后，就可以绕过校验了。
def exem(request):
    return HttpResponse('exempt')

@csrf_protect   # 装饰了这个装饰器就会被校验了。
def pro(request):
    return HttpResponse('pro')

两个装饰器在CBV上有何不同

csrf_exempt

这个装饰器只能给dispatch装

from django.views.decorators.csrf import csrf_exempt, csrf_protect
from django.utils.decorators import method_decorator
# 第一种
# @method_decorator(csrf_exempt,name='dispatch')
class MyCsrf(View):
    # 第二种
    @method_decorator(csrf_exempt)
    def dispatch(self, request, *args, **kwargs):
        return super().dispatch(request,*args,**kwargs)

    def get(self,request):
        return render(request, 'transfer.html')

    def post(self, request):
        return HttpResponse('OK')

csrf_protect

怎么装饰都可以，与普通的装饰器装饰CBV一致

@method_decorator(csrf_protect,name='post')   # 第一种
class MyCsrf(View):
    @method_decorator(csrf_protect)   #  第二种
    def dispatch(self, request, *args, **kwargs):
        return super().dispatch(request,*args,**kwargs)

    def get(self,request):
        return HttpResponse('hahaha')

    @method_decorator(csrf_protect)   # 第三种
    def post(self,request):
        return HttpResponse('post')