静态文件----提交表单 本例在static目录中建立了一个from.html静态页面,该页面有一个<form>标签,用于向服务端提交POST请求,然后在post.py脚本文件中添加一个路由方法,用于处理HTTP POST请求, 并返回请求字段值. 本实例涉及一个CSRF校验的问题,CSRF是Cross-site request forgery(跨站请求伪造)的缩写,CSRF校验就是为了防止CSRF攻击进行的校验.由于CSRF校验与本例无关. 所以使用@csrf_exempt装饰器将CSRF校…

Yii2 默认开启csrf校验,但是有些时候确实不需要校验,比如对外提供API 一般做法直接在xxController中增加属性: public $enableCsrfValidation = false; 但是这样整个xxController都失去了校验,开发中又只是希望某一个action禁用 在components下建文件NoCsrf.php, 内容: class NoCsrf extends Behavior { public $actions = []; public $controll…

引入: 通常,钓鱼网站本质是本质搭建一个跟正常网站一模一样的页面,用户在该页面上完成转账功能 转账的请求确实是朝着正常网站的服务端提交,唯一不同的在于收款账户人不同. 如果想模拟一个钓鱼网站,就可是给用户书写一个form表单 对方账户的input框没有name属性,然后你自己悄悄提前写好了一个具有默认的并且是隐藏的具有name属性的input框. 如果想解决这个问题,当转账请求发送给服务端后,服务端会给各台机器返回一个随机实时字符串.下一次,如果还有请求向服务端发时,服务端会校验字符串,若对不上…

JSON Schema 简介 JSON Schema is a vocabulary that allows you to annotate and validate JSON documents. JSON Schema官网 JSON Schema 是一个可以对json格式数据进行校验和进行内容描述的文档,它本身也是基于json格式的. 主要有以下作用: 对现有的json数据格式进行描述(字段类型.内容长度.是否必须存在.取值示例等): 是一个描述清晰.人机可读的文档: 自动测试.验证客户端提…

CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作.比如说,受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/withdraw?account=bob&amount=1000000&for=bob2 可以使 Bob 把 1000000 的存款转到 bob2 的账号下.通常情况下,该请求发送到网站后,服务器会先验证该请求是否来自一个合法的 session,并且该 se…

一直以为ajax不能做上传,直到最近看了一些文章.需要引入AjaxFileUploaderV2.1.zip,下载链接:http://pan.baidu.com/s/1i3L7I2T 代码和相关配置如下: js代码: <script> //ajax 无刷新上传文件 function ajaxFileUpload() { //判断是否选择文件 if($("#uploadFile").val() == null || $("#uploadFile").val(…

简单的django登录项目 1.首先建立工程,建立工程请参照:https://www.cnblogs.com/effortsing/p/10394511.html 2.在Firstdjango工程项目中手工创建一个文件名为static 3.配置静态目录 在setting.py中找到STATIC_URL配置如下: STATIC_URL = '/static/' STATICFILES_DIRS = ( os.path.join(BASE_DIR,"static"), ) 4.添加APP包…

简单的django登录项目 1.首先建立工程,建立工程请参照:https://www.cnblogs.com/effortsing/p/10394511.html 2.在Firstdjango工程项目中手工创建一个文件名为static 3.配置静态目录 在setting.py中找到STATIC_URL配置如下: STATIC_URL = '/static/' STATICFILES_DIRS = ( os.path.join(BASE_DIR,"static"), ) 4.添加APP包…

简单的django登录项目 1.首先建立工程,建立工程请参照:https://www.cnblogs.com/effortsing/p/10394511.html 2.在Firstdjango工程项目中手工创建一个文件名为static 3.配置静态目录 在setting.py中找到STATIC_URL配置如下: STATIC_URL = '/static/' STATICFILES_DIRS = ( os.path.join(BASE_DIR,"static"), ) 4.添加APP包…

CSRF(跨站请求伪造)是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法. 这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的. 例如,一个用户刚在某个网站登录过,认证信息记录在浏览器中,此时不小心点进了一个钓鱼网站,钓鱼网站仿照用户真正登录的网页布局,一旦用户执行涉及财产的操作,那么他填写完表单后发生给了真正的网站.其实真正的网站接收到的是钓鱼网站提前设置好的数据.那么这次攻击的目的就实现了. dja…