一、前言
csrf是django的默认中间件
# settings.python
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
1.使用csrf的好处
-
csrf的token与session配合使用可以帮助我们省去很多工作。
例如:
def view(request)
user = request.user
return HttpResponse('message')
如果我们不使用csrf就不能确认request.user是否可靠。下面会谈这一点。
备注:这里的user也是使用django自带的功能,如果你重新实现了session,user用户认证,csrf等等,那就不用往下看了。
- 使用原生的
csrf可以和django的第三方框架配合使用
例如在django-rest-framework(DRF)这个框架中,就使用了很多关于csrf与user的地方,如果你不了解csrf可能就会造成很多困扰
2.csrf引起的问题
当然使用csrf也会有很多麻烦的地方,你可能莫名其妙的遇到403权限拒绝。
当然,你可以直接将'django.middleware.csrf.CsrfViewMiddleware'这个中间件注释掉。
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
# 'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
但是当你用的第三方库越来越多,你会发现可能注释掉django的csrf中间件并不是万能的。因为这些第三方库可能调用了csrf的验证功能,这个时候你还是要去查看原因。
3. 结论
了解django的csrf的原理及其实现是很有必要的,而不是想着
我直接注释掉这个中间件,不用不就好了吗?
4.django官网:
-
https://docs.djangoproject.com/zh-hans/3.0/ref/csrf
关于csrf的全面文档 -
https://docs.djangoproject.com/zh-hans/3.0/ref/csrf/#how-csrf-works
csrf是如何工作的 -
https://docs.djangoproject.com/zh-hans/3.0/ref/csrf/#using-csrf
如何使用csrf,包含在表单中使用,以及ajax中构造参数
一、什么是csrf攻击,csrf攻击的实现原理
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
CSRF的实现与cookie有关,很多的网站登陆一次后,会在浏览器保存cookie,当我们后续访问该网站(比如简书)的时候,浏览器会根据目标网站自动添加cookie信息,简书的服务端在我们的请求信息中找到cookie信息后就不会让我们重新登陆验证。
假如某恶意网站上有一个删除简书文章的链接https://www.jianshu.com/p/3b3264061b26/delete),当用户被诱导点击该链接后,浏览器就会对该网站发出请求,并附带该网站的cookie信息。服务端在验证cookie信息正确后就通过了该删除请求。导致用户在不知道的情况下删除了自己的文章。
二、如何防止CSRF攻击
CSRF攻击之所以能够成功,是因为攻击者可以伪造用户的请求,该请求中所有的用户验证信息都存在于Cookie中,因此攻击者可以在不知道这些验证信息的情况下直接利用用户自己的Cookie来通过安全验证。
我们需要做的就是在cookie之外还要对用户请求进行验证。需要用户携带token令牌。
三、django的csrf是如何工作的
django在请求返回时,会生成一个token令牌,该令牌信息会存储到用户的cookie或者返回的内容中(如果在模版中添加{% csrf-token %})。
虽然令牌信息存储在cookie中,但是当用户发来不安全请求post、update、patch、delete时(一般认为get请求为安全请求,django对get请求不会验证csrf-token,除非开发人员强制要求),django会在请求头或者请求体 / POST内容中验证csrf-token。这就要求用户端必须从cookie中获取token信息并设置在请求头或者POST内容中,这是csrf攻击所做不到的。
四、如何在django中使用csrf
4.1确保你的settings.py正确设置
# settings.python
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
'django.middleware.csrf.CsrfViewMiddleware'没有被注释掉才能起作用。
4.2在发起请求前如何获取csrf-token
比较通用的获取方式是通过cookie,它不仅适用于post请求,还适用于update,patch,delete请求。
【虽然网上很多人都是使用{% csrf-token %}标签来生成token并获取,但是django官方是推荐从cookie中获取token的】
默认的存储token的cookie名称为csrftoken,你也可以在settings.py中通过CSRF_COOKIE_NAME来设置
1.)使用纯js代码来获取token
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie !== '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = cookies[i].trim();
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) === (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
var csrftoken = getCookie('csrftoken');
2.)使用jquery.cookie.js [ 必须先引入jquery.js,再引入jquery.cookie.js ],网上有很多CDN镜像资源
var csrftoken = $.cookie('csrftoken');
4.3如何在请求中携带csrf验证信息。
1.)当我们发送ajax请求时,可以在请求头中携带csrftoken,默认设置的请求头名称为X-CSRFToken,你也可以在设置中进行修改。
许多JavaScript框架提供了允许在每个请求上设置标头的钩子。例如在jQuery 1.5.1及更高版本中
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});
2.)如果我们发送的是一个form表单
<form method="post" action="/article/**/**/">
{% csrf_token %}
<input type="text" name="username">
<input type="password" name="password">
<input type="submit" value=提交>
</form>
这种非ajax请求,可以直接在POST请求内容中携带token信息。
我们在模版的form表单中插入{% csrf_token %}标签。该标签经过模版渲染后,会生成一个input组件
<input type="hidden" name="csrfmiddlewaretoken" value="aWBlPMzuUNcROaheK6BrlY1XAlPpJATNsUoCyX0pIVA91zJmxLTLaf69JhBJ5k2z">
这样当我们点击提交后,会在POST请求中携带csrfmiddlewaretoken信息。
五、装饰器方法
1. csrf_protect
为装饰的视图函数提供csrf保护验证,不管是否开启了csrf中间件。
例如你在大部分的情况下不需要CSRF保护,而注释了'django.middleware.csrf.CsrfViewMiddleware'中间件。
但现在有几个重要的视图函数需要对用户进行csrf验证,以保护安全性,那么可以使用csrf_protect装饰器。
from django.shortcuts import render
from django.views.decorators.csrf import csrf_protect
@csrf_protect
def my_view(request):
context = {}
# ...
return render(request, "a_template.html", context=context)
2. csrf_exempt
豁免csrf验证
对于有的视图函数,不需要进行csrf验证,则可以添加csrf_exempt装饰器
3.requires_csrf_token
如果你没有启动CsrfViewMiddleware中间件,又没有对视图函数添加csrf_protect装饰器,或者添加了csrf_exempt豁免,那么在模版中添加{% csrf_token %}是不会生效的。
使用requires_csrf_token装饰器可以确保{% csrf_token %}标签一定生效。
4. ensure_csrf_cookie
如果在模版中使用了{% csrf_token %}标签,那么返回的响应中一定有csrf-token的cookie信息,如果页面中没有使用{% csrf_token %}那么返回的信息中就不一定有csrf-token的cookie了。
特别是我们的前端发送的所有非get请求都是通过ajax来实现的,那么在视图函数上使用requires_csrf_token装饰器可以确保返回的信息中有csrf-token
的cookie信息。
六、装饰类视图
如果我们使用的是类视图,特别是RESTful风格的后端api,那么我们的装饰器直接装饰到get,post,update,patch,delete方法上是没有用的。
1. 借助method_decorator在dispatch()方法上进行装饰
from django.views import View
from django.views.decorators.csrf import csrf_exempt
from django.contrib.auth.decorators import login_required
from django.utils.decorators import method_decorator
class ProtectedView(View):
@method_decorator(login_required)
@method_decorator(csrf_exempt)
def dispatch(self, *args, **kwargs):
return super().dispatch(*args, **kwargs)
2.用装饰类来代替,并作为关键参数 name 传递要被装饰的方法名
@method_decorator(csrf_exempt, name='dispatch')
@method_decorator(login_required, name='dispatch')
class ProtectedView(View):
pass
可以定义一个装饰器列表或元组,并使用它而不是多次调用 method_decorator()
decorators = [never_cache, login_required]
@method_decorator(decorators, name='dispatch')
class ProtectedView(View):
pass
