CSRF_TOKEN跨站请求伪造

1 跨站请求伪造

钓鱼网站
我搭建一个跟正规网站一模一样的界面(中国银行)
用户不小心进入到了我们的网站，用户给某个人打钱
打钱的操作确确实实是提交给了中国银行的系统，用户的钱也确确实实减少了
但是唯一不同的时候打钱的账户不适用户想要打的账户变成了一个莫名其妙的账户

 

内部本质

我们在钓鱼网站的页面 针对对方账户 只给用户提供一个没有name属性的普通input框
然后我们在内部隐藏一个已经写好name和value的input框

 

如何规避上述问题

?

1 2 3

csrf跨站请求伪造校验 网站在给用户返回一个具有提交数据功能页面的时候会给这个页面加一个唯一标识 当这个页面朝后端发送post请求的时候 我的后端会先校验唯一标识，如果唯一标识不对直接拒绝(403 forbbiden)如果成功则正常执行

　　

 

2 代码演示

如何符合校验

# form表单如何符合校验
<form action="" method="post">
    {% csrf_token %}
    <p>username:<input type="text" name="username"></p>
    <p>target_user:<input type="text" name="target_user"></p>
    <p>money:<input type="text" name="money"></p>
    <input type="submit">
</form>

# ajax如何符合校验
// 第一种 利用标签查找获取页面上的随机字符串
{#data:{"username":'jason','csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()},#}
// 第二种 利用模版语法提供的快捷书写
{#data:{"username":'jason','csrfmiddlewaretoken':'{{ csrf_token }}'},#}
// 第三种 通用方式直接拷贝js代码并应用到自己的html页面上即可
data:{"username":'jason'}

function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');


function csrfSafeMethod(method) {
  // these HTTP methods do not require CSRF protection
  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

$.ajaxSetup({
  beforeSend: function (xhr, settings) {
    if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
      xhr.setRequestHeader("X-CSRFToken", csrftoken);
    }
  }
});

 

3 django解决了csrf攻击，中间件：django.middleware.csrf.CsrfViewMiddleware

4 后期中间件不能注释，每次发送post请求，都需要携带csrf_token随机字符串
-form表单提交
-在form表单中 {% csrf_token%}

-ajax提交（如何携带）
方式一：放到data中

$.ajax({
url: '/csrf_test/',
method: 'post',
data: {'name': $('[name="name"]').val(),
'password': $('[name="password"]').val(),
'csrfmiddlewaretoken':$('[name="csrfmiddlewaretoken"]').val()
},
success: function (data) {
console.log('成功了')
console.log(data)

},
error: function (data) {
console.log('xxxxx')
console.log(data)

}
})

 

方式二：放到data中
'csrfmiddlewaretoken':'{{ csrf_token }}'
方式三：放到头中
headers:{'X-CSRFToken':'{{csrf_token}}'},


# jquery.cookie.js
-在浏览器中对cookie进行增，删，查，改
-前后端分离（js操作cookie）



# 全局使用，局部禁csrf
-在视图函数上加装饰器

from django.views.decorators.csrf import csrf_exempt,csrf_protect
# 全局启用，局部禁用（中间件不能注释，这个视图函数，已经没有csrf校验了）
# @csrf_exempt
# def csrf_test(request):
# if request.method=='GET':
# return render(request,'csrf_test.html')
# else:
# name=request.POST.get('name')
# password=request.POST.get('password')
# print(name)
# print(password)
# return HttpResponse('登录成功')

 

# 全局禁用，局部使用csrf

@csrf_protect
def csrf_test(request):
if request.method=='GET':
return render(request,'csrf_test.html')
else:
name=request.POST.get('name')
password=request.POST.get('password')
print(name)
print(password)
return HttpResponse('登录成功')

 

 

# 其他使用方式，在urls.py中
path('csrf_test/', csrf_exempt(views.csrf_test))

 

http://127.0.0.1:8002/login/?username=zs&password=123

 

当我们把提交方式改为post，post提交数据时 会出现以下报错，只需要把中间件其中一个注释掉即可（防止csrf防跨站请求伪造）