Django防御csrf攻击的实现方式(包括ajax请求)
作者:he-yin
csrf攻击简要说明
用户A现在登录了某银行网站的官网,浏览器记录了该网站生成的记录用户信息的cookie,而后用户A点击了钓鱼网站(该网站和银行网站长的一样),该钓鱼网站内有js代码向银行官网发起转账请求,此时该请求会自动携带记录用户信息的cookie值去访问银行官网进行转账操作,银行网站的后端若没有设置csrf防御机制,仅仅验证用户是否登录,就会认为该转账操作是该用户的合法操作。如果银行网站不仅验证cookie,同时再验证一个攻击者无法获取到的值,就能防御上述漏洞。
CsrfViewMiddleware中间件
Django防御csrf攻击是通过 django.middleware.csrf.CsrfViewMiddleware
中间件实现的,当我们创建项目后,默认在 settings
文件内的 MIDDLEWARE
内已经开启了该中间件
防御机理:验证cookie中的 csrftoken
值和表单中 csrfmiddlewaretoken
(或ajax请求头中的X-CSRFToken参数)的值,两者里边的secret是否相同(不是完整的token值是否相同)来进行防御(这个值攻击者无法获取到)。
原因:由于浏览器同源策略的限制,钓鱼网站无法获取银行网站给用户设置的cookie,也就无法获取csrftoken值,自然就无法在form表单或ajax请求头中伪造该值,而django是要验证这两个值的secret是否是一致的
非ajax请求实现
该方法即form标签的action属性直接提交表单数据,当使用这种方式时,只需要在模板内使用 {% csrf_token %}
(必须在form表单内) 即可实现防御,代码如下:
<form method="post" action="/login/"> {% csrf_token %} </form>
注意:在视图函数内return响应时,如果不是使用的render()函数,则需要确保 RequestContext
被用于渲染模板(render函数是自带上下文管理器的),否则 {% csrf_token %}
无法正常工作
{% csrf_token %}
作用:
1、在form表单内生成一个input标签,内容为
<input type="hidden" name="csrfmiddlewaretoken" value="jojovCfhvZhhqhbVf82BkzOA9EGIgPheBt3H0obOxygwCp4NHxcZ1tjhBbPl62DE">
2、在响应中设置cookie csrftoken=dArgJ7X1ygDM2lyau37guxRkwDR1lbd3vFbzeTTyAPC1etr2WshEbrm1Ya0Ebozt
ajax请求实现
现实开发中,我们可能更多的使用ajax的方式进行请求。
ajax的方式需要在请求头上设置 X-CSRFToken
参数来记录csrftoken的值,因此问题变成了如何获取csrftoken的值。
django提供了几种方式来获取该值,首先要区分 CSRF_USE_SESSIONS
是否开启,该参数表示是否将CSRF token 存储在session中而不是cookie中,一般情况下无需修改此值,默认是False。
django官方例子是从cookie中获取csrftoken。
CSRF_USE_SESSIONS 为False的情况
在此情形下,有两种方式来确保响应的cookie中有 csrftoken 这个值
1、在模板中添加 {% csrf_token %}(任意位置) ,则响应的cookie中自然会有csrftoken
2、模板中没有添加 {% csrf_token %} ,那么在视图函数上添加装饰器 `ensure_csrf_cookie`就会强制在响应头中添加 csrftoken这个cookie
从cookie中获取值的js代码
// using jQuery function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !== '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = jQuery.trim(cookies[i]); // Does this cookie string begin with the name we want? if (cookie.substring(0, name.length + 1) === (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } var csrftoken = getCookie('csrftoken');
或者直接使用js的Cookie库来获取
var csrftoken = Cookies.get('csrftoken');
上述仅描述从cookie中获取csrftoken,如果模板中设置了 {% csrf_token %}
,那么无论从cookie还是dom取值都是可以的
CSRF_USE_SESSIONS 为True的情况
此种方式若要获取csrftoken,就要求必须在html中存在 csrftoken(不能在cookie中获取该值),并使用js从dom中获取该值,也就是说必须在模板中添加 {% csrf_token %}(任意位置)
{% csrf_token %} <script type="text/javascript"> // using jQuery var csrftoken = jQuery("[name=csrfmiddlewaretoken]").val(); </script>
在ajax请求中设置token
代码如下:
function csrfSafeMethod(method) { // these HTTP methods do not require CSRF protection return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method)); } // 在jquery的每个请求发起前设置X-CSRFToken $.ajaxSetup({ beforeSend: function(xhr, settings) { if (!csrfSafeMethod(settings.type) && !this.crossDomain) { xhr.setRequestHeader("X-CSRFToken", csrftoken); } } });
以上步骤总结起来就是:
1、获取csrftoken值(从cookie或dom中获取,给cookie中设置该值的两种方法)
2、在ajax请求头中设置 X-CSRFToken
记录csrftoken值
3、发起ajax请求即可
前后端完全分离开发
在此种情形下,html页面不由django渲染返回(html页面作为静态文件处理,所有数据均为异步加载),因此无法通过上述几种方式来获取csrftoken的值
通过了解 CsrfViewMiddleware
可知,为form表单生成csrftoken是通过 get_token(request)
函数实现的,源码如下:
def get_token(request): """ Return the CSRF token required for a POST form. The token is an alphanumeric value. A new token is created if one is not already set. A side effect of calling this function is to make the csrf_protect decorator and the CsrfViewMiddleware add a CSRF cookie and a 'Vary: Cookie' header to the outgoing response. For this reason, you may need to use this function lazily, as is done by the csrf context processor. """ if "CSRF_COOKIE" not in request.META: csrf_secret = _get_new_csrf_string() request.META["CSRF_COOKIE"] = _salt_cipher_secret(csrf_secret) else: csrf_secret = _unsalt_cipher_token(request.META["CSRF_COOKIE"]) request.META["CSRF_COOKIE_USED"] = True return _salt_cipher_secret(csrf_secret)
编写视图函数用来返回token值:
def get_token(request): token = django.middleware.csrf.get_token(request) return JsonResponse({'token': token})
前端代码:
var csrftoken; $.get('/csrf_token/', function (resp) { csrftoken = resp.token; // 接受上边视图函数返回的token,保存到全局变量中 document.cookie = 'csrftoken=' + resp.token; // token设置到cookie中 }); // 将csrftoken设置到ajax的请求头上 function csrfSafeMethod(method) { // these HTTP methods do not require CSRF protection return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method)); } // 在jquery的每个请求发起前设置X-CSRFToken $.ajaxSetup({ beforeSend: function (xhr, settings) { if (!csrfSafeMethod(settings.type) && !this.crossDomain) { xhr.setRequestHeader("X-CSRFToken", csrftoken); } } }); // 下边发起ajax请求即可
取消防御的几种手段
1、完全取消防御,直接注释掉 settings
中的 django.middleware.csrf.CsrfViewMiddleware
即可
2、少数视图函数取消防御,使用 csrf_exempt
来装饰视图函数即可
3、少数视图函数需要防御,先注释掉 settings
中的 django.middleware.csrf.CsrfViewMiddleware
,在需要防御的视图函数使用 csrf_protect
装饰器即可
4、如果在 CsrfViewMiddleware
中间件执行之前,视图函数先执行了(如返回404,500等页面),此时仍然需要确保{% csrf_token %}能够起作用,使用requires_csrf_token
装饰器
参考链接:https://docs.djangoproject.com/zh-hans/2.0/ref/csrf/
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。