pythonweb开发中的csrft机制

概述环境介绍： python+django python+flask   python中的网站开发中的csrf机制 前端向服务器发起post请求,从cookies中获取一个csrf_token值,从请求体中重新获取一个csrf_token值，如果两个值相同,则表明csrf验证通过，如果两个值不同,则校验失败。会向前端返回一个状态码403的错误。   介绍一个简单的csrf攻击流程   三个服务我们分别 环境介绍：

python+django

python+flask

 

python中的网站开发中的csrf机制

前端向服务器发起post请求,从cookies中获取一个csrf_token值,从请求体中重新获取一个csrf_token值，如果两个值相同,则表明csrf验证通过，如果两个值不同,则校验失败。会向前端返回一个状态码403的错误。

 

介绍一个简单的csrf攻击流程

 

三个服务我们分别假设它的ip：

用户李某：192.168.1.1

银行bank：192.168.1.2

黑客网站：192.169.1.3

用户李某打开浏览器，访问受信任网站bank，输入用户名和密码请求登录网站bank；

在用户信息通过验证后，网站bank产生cookie信息并返回给浏览器，此时用户登录网站bank成功，可以正常发送请求到网站bank；

用户未退出网站bank之前，在同一浏览器中，打开一个TAB页访问黑客网站；

黑客网站接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点bank；

浏览器在接收到这些攻击性代码后，根据黑客网站的请求，在用户不知情的情况下携带cookie信息，向网站bank发出请求。网站bank并不知道该请求其实是由黑客发起的，所以会根据用户李某的cookie信息以李某的权限处理该请求，导致来自黑客的恶意代码被执行。

因此就有了token的产生：

CSRF 攻击之所以能够成功，是因为黑客可以完全伪造用户的请求，该请求中所有的用户验证信息都是存在于 cookie 中，因此黑客可以在不知道这些验证信息的情况下直接利用用户李某的 cookie 来通过安全验证。要抵御 CSRF，关键在于在请求中放入黑客所不能伪造的信息，并且该信息不存在于 cookie 之中。可以在 http 请求中以参数的形式加入一个随机产生的 token，并在服务器端建立一个拦截器来验证这个 token，如果请求中没有 token 或者 token 内容不正确，则认为可能是 CSRF 攻击而拒绝该请求。

Ps：

黑客是可以获取用户浏览器中的关于bank的cookies值但是无法知道这些信息，但是token值一般情况下是随机生成的,这个不确定性，导致黑客必须伪造，如何伪造黑客是不知的，再加上http/https请求中的同源策略，即相同ip，相同域名，相同端口，否则同源策略限制了不同源的网站互相 *** 作资源，而黑客如果自己伪造token往往是不能通过bank网站的验证，因此这样就十分安全了

总结

以上是内存溢出为你收集整理的pythonweb开发中的csrft机制全部内容，希望文章能够帮你解决pythonweb开发中的csrft机制所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。