django csrf
csrf 全称(cross site request forgery)跨站请求伪造。也被称为one click attack和session riding,通常缩写为csrf或xsrf。你可以这样理解:攻击者(黑客,钓鱼网站)盗用了你的身份,以你的 名义发送恶意请求,这些请求包括发送邮件、发送信息、盗用账号、购买商品、银行转账,从而使你的个人隐私泄露和财产损失。
csrf原理
1、用户登录并信任网站a
2、验证通过,在用户处产生a的cookie
3、用户在没有登出网站a的情况下,访问危险网站b
4、网站b要求访问第三站点网站a,发出一个request
5、根据网站b的请求,浏览器带着网站a产生的cookie访问网站a
6、网站a不知道请求是用户发出的还是网站b发出的,由于浏览器会自动带上用户cookie,所以网站a会根据用户的权限处理请求,这样网站b就达到了模拟用户操作的目的
从上面步骤中可以看出,要完成一次csrf攻击,受害者必须依次完成以下两个步骤:
登录受信任网站a,并在本地生成cookie
在不登出a的情况下,访问危险网站b
看到这里,你也许会问:如果我不满足以上两个条件中的一个,我就不会受到csrf攻击。是的,确实如此,但是你不能保证以下情况不会发生
你不能保证你登录了一个网站之后,不再打开一个tab页面并访问其他的网站
你不能保证你关闭浏览器之后,你本地的cookie会立刻过期,你上次的会话已经结束
上述中所谓的攻击网站,可能就是一个钓鱼网站
csrf攻击实例
听了这么多,可能大家还云里雾里,光听概念可能大家对于csrf还是不够了解,下面我将举一个例子来让大家对csrf有一个更深层次的理解。
我们先假设支付宝存在csrf漏洞,我的支付宝账号是wl,攻击者的支付宝账户是xxx,然后我们通过网页请求的方式 http://zhifubao.com/withdraw?account=lyq&amount=10000&for=wl 可以把账号的wl的10000元转到我的另外一个 账户wl上面去。通常这个情况下,该请求发送到支付宝服务器后,服务器会先验证请求是否来自一个合法的session,并且该session的用户已经成功登录。攻击者在支付宝也有账户xxx,他直到上文中的url可以进行转账操作,于是他自己可以发送一个请求 http://zhifubao.com/withdraw?account=lyq&amount=10000&for=xxx 到支付宝后台。但是这个请求是来自攻击者而不是我wl,所以不能通过安全认证,因此该请求作废。这时,攻击者xxx想到了用csrf的方式,他自己做了个网站,在网站中放了如下代码:http://zhifubao.com/withdraw?account=lyq&amount=10000&for=xxx ,并且通过网站链接诱使我来访问他的网站。当我禁不住诱惑时就会点了进去,上述请求就会从我自己的浏览器发送到支付宝,而且这个请求会附带我的浏览器中的cookie。大多数情况下,该请求会失败,因为支付宝要求我的认证信息,但是我如果刚访问支付宝不久,还没有关闭支付宝页面,我的浏览器中的cookie存有我的认证信息,这个请求就会得到响应,从我的账户中转10000元到xxx账户里,而我丝毫不知情。
进入settings.py找到 middleware 这个列表找到 'django.middleware.csrf.csrfviewmiddleware', 这个字段
这一行设置csrf的如果把它注释掉csrf将失效
现在我在django写了一个html表单当我点击提交的时候会变为提交方式会变为post然后就会发现报了一个 403 的csrf错误
这是因为django的防护功能 因没有提供referer值而被误认为csrf攻击,拒绝访问 怎么解决这个问题呢?
可以在form表单下面加上 {%csrf_token%} 当你检查的时候就会发现多了一个input数据 这是 {%csrf_token%} 自动转化的数据提供浏览器进行确认
如果成功就可以正常访问错误则拒绝访问
然后你就会发现跳转页面的时候访问成功了
