根据我自己的理解,csrf就是:
有一个链接:xxx/pay只要向他post数据money=10,就可以扣掉十块钱,那么我在请求支付页面的时候加上csrf token,就可以防止在用户不知情的情况下点击不明链接提交这样一个请求。但是如果我的那个不明链接不是链接,而是一段恶意js脚本,它重新发起一次get请求不就能拿到csrf token了?然后把这个token带上不就可以了么?所以csrf token有什么用?
Django csrf token的原理是什么?
- 写回答
- 好问题 0 提建议
- 关注问题
分享- 邀请回答
-
1条回答 默认 最新
- 2022-12-07 23:15西京刀客的博客 Django CSRF 浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。 浏览器的同源策略并不能阻止...
- 2025-03-17 08:53字节王德发的博客 本篇文章将详细介绍如何在Django中设置和使用csrf_token,帮助你更好地理解这一重要安全特性。要理解CSRF的概念。CSRF是一种攻击方式,攻击者通过伪造用户的请求来执行不当操作。比如,当用户在某个网站上登录后,...
- 2020-11-28 14:45少年白char的博客 CSRF攻击 CSRF(英语:Cross-site request forgery)是跨站请求伪造的缩写,也被称为XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,CSRF利用的是网站对用户网页浏览器的信任,。 ...
- 2020-09-17 17:29Django的CSRF保护机制工作原理是这样的:首次请求时,服务器生成一个唯一的CSRF令牌,并将其存储在用户浏览器的cookie中。当用户提交表单时,表单中会包含这个令牌。Django在接收到POST请求时,会检查请求头中的CSRF...
- 2020-09-17 17:28在Django框架中,为了确保Web应用的安全性,防止CSRF(Cross-site request forgery)攻击,开发者需要在处理POST请求时添加一个名为`csrftoken`的令牌。CSRF攻击是一种恶意用户在用户浏览器中利用已登录用户的权限...
- 2023-05-18 16:46cinkpcpwpoin1204612的博客 将所有的csrf_token验证都关闭是不安全的,因此考虑views.py文件中对单个函数关闭csrf_token验证。首先import关闭csrf_token验证的函数。
- 2024-08-26 06:18ac-er8888的博客 Django 的 CSRF 实现机制依赖于为每个用户会话生成唯一的 CSRF token,并通过多种方式(如 cookie、模板标签和请求头)将这个 token 传递给前端页面。当表单提交时,Django 会验证请求中的 CSRF token 是否有效,...
- 2020-09-19 13:00蓝绿色~菠菜的博客 首先,django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 csrftoken,并把这个 csrftoken 放在 cookie 里。然后每次 POST 请求都会带上这个 csrftoken。(这个csrftoken的有效期非常长(52周)) ...
- 2024-10-17 22:36小R资源的博客 这是最常见的原因之一。确保在每个需要进行CSRF验证的表单中都添加了标签...:如果你的Django应用部署在使用了反向代理的服务器上,可能需要配置代理服务器以确保它不会干扰CSRF令牌的传递。:确保文件中的MIDDLEWARE。
- 2020-12-08 06:10?? 1的博客 环境Window 7Python2.7Django1.4.1sqlite3问题在使用Django搭建好测试环境后,写了一个提交POST表单提交留言的测试页面。如图:填写表单,点击“提交留言”按钮提交到服务器,却出现Forbidden (403)CSRF ...
- 没有解决我的问题, 去提问
