python

关注公众号 jb51net

关闭
首页 > 脚本专栏 > python > Django防御csrf攻击方式

Django防御csrf攻击的实现方式(包括ajax请求)

作者:he-yin

这篇文章主要介绍了Django防御csrf攻击的实现方式(包括ajax请求),具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教

csrf攻击简要说明

用户A现在登录了某银行网站的官网,浏览器记录了该网站生成的记录用户信息的cookie,而后用户A点击了钓鱼网站(该网站和银行网站长的一样),该钓鱼网站内有js代码向银行官网发起转账请求,此时该请求会自动携带记录用户信息的cookie值去访问银行官网进行转账操作,银行网站的后端若没有设置csrf防御机制,仅仅验证用户是否登录,就会认为该转账操作是该用户的合法操作。如果银行网站不仅验证cookie,同时再验证一个攻击者无法获取到的值,就能防御上述漏洞。

CsrfViewMiddleware中间件

Django防御csrf攻击是通过 django.middleware.csrf.CsrfViewMiddleware 中间件实现的,当我们创建项目后,默认在 settings 文件内的 MIDDLEWARE 内已经开启了该中间件

防御机理:验证cookie中的 csrftoken 值和表单中 csrfmiddlewaretoken (或ajax请求头中的X-CSRFToken参数)的值,两者里边的secret是否相同(不是完整的token值是否相同)来进行防御(这个值攻击者无法获取到)。

原因:由于浏览器同源策略的限制,钓鱼网站无法获取银行网站给用户设置的cookie,也就无法获取csrftoken值,自然就无法在form表单或ajax请求头中伪造该值,而django是要验证这两个值的secret是否是一致的

非ajax请求实现

该方法即form标签的action属性直接提交表单数据,当使用这种方式时,只需要在模板内使用 {% csrf_token %} (必须在form表单内) 即可实现防御,代码如下:

<form method="post" action="/login/">
	{% csrf_token %}
</form>

注意:在视图函数内return响应时,如果不是使用的render()函数,则需要确保 RequestContext 被用于渲染模板(render函数是自带上下文管理器的),否则 {% csrf_token %} 无法正常工作

{% csrf_token %} 作用:

1、在form表单内生成一个input标签,内容为

<input type="hidden" name="csrfmiddlewaretoken" value="jojovCfhvZhhqhbVf82BkzOA9EGIgPheBt3H0obOxygwCp4NHxcZ1tjhBbPl62DE">

2、在响应中设置cookie csrftoken=dArgJ7X1ygDM2lyau37guxRkwDR1lbd3vFbzeTTyAPC1etr2WshEbrm1Ya0Ebozt

ajax请求实现

现实开发中,我们可能更多的使用ajax的方式进行请求。

ajax的方式需要在请求头上设置 X-CSRFToken 参数来记录csrftoken的值,因此问题变成了如何获取csrftoken的值。

django提供了几种方式来获取该值,首先要区分 CSRF_USE_SESSIONS 是否开启,该参数表示是否将CSRF token 存储在session中而不是cookie中,一般情况下无需修改此值,默认是False。

django官方例子是从cookie中获取csrftoken。

CSRF_USE_SESSIONS 为False的情况

在此情形下,有两种方式来确保响应的cookie中有 csrftoken 这个值

1、在模板中添加  {% csrf_token %}(任意位置) ,则响应的cookie中自然会有csrftoken

2、模板中没有添加  {% csrf_token %} ,那么在视图函数上添加装饰器 `ensure_csrf_cookie`就会强制在响应头中添加 csrftoken这个cookie

从cookie中获取值的js代码

// using jQuery
function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');

或者直接使用js的Cookie库来获取

var csrftoken = Cookies.get('csrftoken');

上述仅描述从cookie中获取csrftoken,如果模板中设置了 {% csrf_token %} ,那么无论从cookie还是dom取值都是可以的

CSRF_USE_SESSIONS 为True的情况

此种方式若要获取csrftoken,就要求必须在html中存在 csrftoken(不能在cookie中获取该值),并使用js从dom中获取该值,也就是说必须在模板中添加 {% csrf_token %}(任意位置)

{% csrf_token %}
<script type="text/javascript">
// using jQuery
var csrftoken = jQuery("[name=csrfmiddlewaretoken]").val();
</script>

在ajax请求中设置token

代码如下:

function csrfSafeMethod(method) {
    // these HTTP methods do not require CSRF protection
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
// 在jquery的每个请求发起前设置X-CSRFToken
$.ajaxSetup({
    beforeSend: function(xhr, settings) {
        if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken);
        }
    }
});

以上步骤总结起来就是:

1、获取csrftoken值(从cookie或dom中获取,给cookie中设置该值的两种方法)

2、在ajax请求头中设置 X-CSRFToken 记录csrftoken值

3、发起ajax请求即可

前后端完全分离开发

在此种情形下,html页面不由django渲染返回(html页面作为静态文件处理,所有数据均为异步加载),因此无法通过上述几种方式来获取csrftoken的值

通过了解 CsrfViewMiddleware 可知,为form表单生成csrftoken是通过 get_token(request) 函数实现的,源码如下:

def get_token(request):
    """
    Return the CSRF token required for a POST form. The token is an
    alphanumeric value. A new token is created if one is not already set.
    A side effect of calling this function is to make the csrf_protect
    decorator and the CsrfViewMiddleware add a CSRF cookie and a 'Vary: Cookie'
    header to the outgoing response.  For this reason, you may need to use this
    function lazily, as is done by the csrf context processor.
    """
    if "CSRF_COOKIE" not in request.META:
        csrf_secret = _get_new_csrf_string()
        request.META["CSRF_COOKIE"] = _salt_cipher_secret(csrf_secret)
    else:
        csrf_secret = _unsalt_cipher_token(request.META["CSRF_COOKIE"])
    request.META["CSRF_COOKIE_USED"] = True
    return _salt_cipher_secret(csrf_secret)

编写视图函数用来返回token值:

def get_token(request):
    token = django.middleware.csrf.get_token(request)
    return JsonResponse({'token': token})

前端代码:

var csrftoken;
$.get('/csrf_token/', function (resp) {
    csrftoken = resp.token;  // 接受上边视图函数返回的token,保存到全局变量中
    document.cookie = 'csrftoken=' + resp.token;  // token设置到cookie中
});
// 将csrftoken设置到ajax的请求头上
function csrfSafeMethod(method) {
    // these HTTP methods do not require CSRF protection
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
// 在jquery的每个请求发起前设置X-CSRFToken
$.ajaxSetup({
    beforeSend: function (xhr, settings) {
        if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken);
        }
    }
});
// 下边发起ajax请求即可

取消防御的几种手段

1、完全取消防御,直接注释掉 settings 中的 django.middleware.csrf.CsrfViewMiddleware 即可

2、少数视图函数取消防御,使用 csrf_exempt 来装饰视图函数即可

3、少数视图函数需要防御,先注释掉 settings 中的 django.middleware.csrf.CsrfViewMiddleware ,在需要防御的视图函数使用 csrf_protect 装饰器即可

4、如果在 CsrfViewMiddleware 中间件执行之前,视图函数先执行了(如返回404,500等页面),此时仍然需要确保{% csrf_token %}能够起作用,使用requires_csrf_token装饰器

参考链接:https://docs.djangoproject.com/zh-hans/2.0/ref/csrf/

总结

以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。

您可能感兴趣的文章:
阅读全文