0
我不清楚使用Django表单的csrf标记。我在表单提交中有这个,我看到它是动态生成的。如果捕捉我的会议与提琴手,并尝试提交我的表单没有该令牌,我得到一个403错误。但我不明白的是,我可以使用提琴手来提交尽可能多的数据,因为我需要使用相同的标记,所以我不明白这个标记的安全性。如果有人剽窃你的表格,他们可以使用相同的标记。Django csrf标记如何工作?
我是否缺少一些额外的步骤来确保令牌始终是唯一的?
A
回答
2
然后你的应用程序准备好表单,Django为当前用户会话使用csrf标记。所以,黑客只能为自己的登录生成表单。
要模拟atack,您可以尝试打开表单会话,输入内容并在设置中更改SECRET_KEY时,重新加载服务器并提交表单数据。
现在您已收到csrf错误消息,becouse csrf令牌取决于SECRET_KEY。
详情请阅读docs
+0
我使用它来支持表单提交而不是登录,所以当我进行测试时,我只是使用与第一次提交时相同的密钥并且它可以工作。当然,如果我删除或更改密钥,它会失败。 – rocketdoctor
2
的CSRF token只ensures that only forms that have originated from trusted domains can be used to POST data back。因此,它不验证数据或表单发送的数据量,但数据来自合法域(通常是您的站点)的表单。因此名称:跨站请求伪造保护。
从docs:
每次CSRF令牌改变用户登录
“偷”或修改使用Firebug 自己令牌,Chrome浏览器开发 工具等。不是一个漏洞。
攻击者无法窃取用户浏览器的CSRF cookie。
如果有人访问(通过中间人攻击或者XSS)您csrftoken cookie,那么这是一个漏洞:
的CSRF保护不能防止中间人中间人攻击, 所以使用HTTPS和HTTP严格传输安全。它还假设验证了HOST头部,并且在您的站点上没有任何跨站点 脚本漏洞(因为XSS漏洞已经让攻击者执行了CSRF漏洞允许的任何操作,而且 严重得多)。
相关问题
- 1. Django 1.4 CSRF如何工作?
- 2. Django 1.10使用csrf标记
- 3. django csrf在ajax不工作
- 4. 每个请求的csrf标记如何工作
- 5. CSRF标记Codeigniter
- 6. django csrf标记错误 - 禁止(CSRF cookie未设置)
- 7. CSRF保护如何工作?
- 8. 如何在AJAX中传递Django csrf标记(不含jQuery)
- 9. 如何使用curl与Django,csrf标记和POST请求
- 10. 如何在jQuery验证插件中传递Django csrf标记?
- 11. 如何在Django的ajax POST中返回新的csrf标记?
- 12. Django的CSRF保护是如何工作的?
- 13. 不明白Django的CSRF保护是如何工作的
- 14. YII框架中CSRF标记多长时间工作
- 15. {{form}}标记如何在Django注册应用程序中工作
- 16. 烧瓶和csrf标记
- 17. Codeigniter CSRF - 它是如何工作的
- 18. Rails CSRF保护如何工作?
- 19. zf2 csrf不工作
- 20. 如何获取Django服务器的python POST请求的csrf标记
- 21. Django 403禁止错误ajax(带csrf标记)GET
- 22. 没有用于Django网页的csrf标记
- 23. Django自定义中间件呈现没有csrf标记
- 24. django中的动态形式的csrf标记错误
- 25. Django记住我不工作
- 26. “@”位置标记如何工作?
- 27. Struts标记属性如何工作?
- 28. 如何@usedby标记在phpdoc中工作
- 29. grail's <g:layoutBody />标记如何工作?
- 30. web api属性标记如何工作
黑客你的表单?请解释这种情况! –