CSRF是指跨站请求伪造（Cross-site request forgery），是web常见的攻击之一。

从Spring Security 4.0开始，默认情况下会启用CSRF保护，以防止CSRF攻击应用程序，Spring Security CSRF会针对PATCH，POST，PUT和DELETE方法进行防护。

我这边是spring boot项目，在启用了@EnableWebSecurity注解后，csrf保护就自动生效了。

所以在默认配置下，即便已经登录了，页面中发起PATCH，POST，PUT和DELETE请求依然会被拒绝，并返回403，需要在请求接口的时候加入csrfToken才行。

如果你使用了freemarker之类的模板引擎或者jsp，针对表单提交，可以在表单中增加如下隐藏域：
<input  type = “hidden”  name = “${_csrf.parameterName}”  value = “${_csrf.token}” /> 

如果您使用的是JSON，则无法在HTTP参数中提交CSRF令牌。相反，您可以在HTTP头中提交令牌。一个典型的模式是将CSRF令牌包含在元标记中。下面显示了一个JSP示例：
<html> 
<head> 
	<meta  name = “_csrf” content = “${_csrf.token}” /> 
	<!-- 默认标题名称是X-CSRF-TOKEN  --> 
	<meta  name = “_csrf_header”  content = “${_csrf.headerName}” /> 
</ head> 

然后，您可以将令牌包含在所有Ajax请求中。如果您使用jQuery，可以使用以下方法完成此操作：
var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");
$.ajax({
	url:url,
	type:'POST',
	async:false,
	dataType:'json',    //返回的数据格式：json/xml/html/script/jsonp/text
	beforeSend: function(xhr) {
		xhr.setRequestHeader(header, token);  //发送请求前将csrfToken设置到请求头中
	},
	success:function(data,textStatus,jqXHR){
	}
});

如果你不想启用CSRF保护，可以在spring security配置中取消csrf，如下：
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/login").permitAll()
                .anyRequest().authenticated()
                .and()
            	...
        http.csrf().disable(); //取消csrf防护
    }
}

CSRF

CSRF全拼为Cross Site Request Forgery，译为跨站请求伪造。
CSRF指攻击者盗用了你的身份，以你的名义发送恶意请求。

包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账......


造成的问题：个人隐私泄露以及财产安全。

CSRF攻击示意图

客户端访问服务器时没有同服务器做安全验证


防止 CSRF 攻击
步骤

在客户端向后端请求界面数据的时候，后端会往响应中的 cookie 中设置 csrf_token 的值
在 Form 表单中添加一个隐藏的的字段，值也是 csrf_token
在用户点击提交的时候，会带上这两个值向后台发起请求
后端接受到请求，以会以下几件事件：

从 cookie中取出 csrf_token
从 表单数据中取出来隐藏的 csrf_token 的值
进行对比


如果比较之后两值一样，那么代表是正常的请求，如果没取到或者比较不一样，代表不是正常的请求，不执行下一步操作

代码演示
未进行 csrf 校验的 WebA

后端代码实现


from flask import Flask, render_template, make_response
from flask import redirect
from flask import request
from flask import url_for
app = Flask(name)
@app.route(’/’, methods=[“POST”, “GET”])

def index():

if request.method == “POST”:

# 取到表单中提交上来的参数

username = request.form.get(“username”)

password = request.form.get(“password”)
    <span class="hljs-keyword">if</span> <span class="hljs-keyword">not</span> all([username, password]):
        print(<span class="hljs-string">'参数错误'</span>)
    <span class="hljs-keyword">else</span>:
        print(username, password)
        <span class="hljs-keyword">if</span> username == <span class="hljs-string">'laowang'</span> <span class="hljs-keyword">and</span> password == <span class="hljs-string">'1234'</span>:
            <span class="hljs-comment"># 状态保持，设置用户名到cookie中表示登录成功</span>
            response = redirect(url_for(<span class="hljs-string">'transfer'</span>))
            response.set_cookie(<span class="hljs-string">'username'</span>, username)
            <span class="hljs-keyword">return</span> response
        <span class="hljs-keyword">else</span>:
            print(<span class="hljs-string">'密码错误'</span>)

<span class="hljs-keyword">return</span> render_template(<span class="hljs-string">'temp_login.html'</span>)

@app.route(’/transfer’, methods=[“POST”, “GET”])

def transfer():

# 从cookie中取到用户名

username = request.cookies.get(‘username’, None)

# 如果没有取到，代表没有登录

if not username:

return redirect(url_for(‘index’))
<span class="hljs-keyword">if</span> request.method == <span class="hljs-string">"POST"</span>:
    to_account = request.form.get(<span class="hljs-string">"to_account"</span>)
    money = request.form.get(<span class="hljs-string">"money"</span>)
    print(<span class="hljs-string">'假装执行转操作，将当前登录用户的钱转账到指定账户'</span>)
    <span class="hljs-keyword">return</span> <span class="hljs-string">'转账 %s 元到 %s 成功'</span> % (money, to_account)

<span class="hljs-comment"># 渲染转换页面</span>
response = make_response(render_template(<span class="hljs-string">'temp_transfer.html'</span>))
<span class="hljs-keyword">return</span> response

if name == ‘main’:

app.run(debug=True, port=9000)



前端登录页面代码

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登录</title>
</head>
<body>
<h1>我是网站A，登录页面</h1>
<form method=“post”>

<label>用户名：</label><input type=“text” name=“username” placeholder=“请输入用户名”><br/>

<label>密码：</label><input type=“password” name=“password” placeholder=“请输入密码”><br/>

<input type=“submit” value=“登录”>

</form>
</body>

</html>



前端转账页面代码

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>转账</title>
</head>
<body>
<h1>我是网站A，转账页面</h1>
<form method=“post”>

<label>账户：</label><input type=“text” name=“to_account” placeholder=“请输入要转账的账户”><br/>

<label>金额：</label><input type=“number” name=“money” placeholder=“请输入转账金额”><br/>

<input type=“submit” value=“转账”>

</form>
</body>

</html>



运行测试，如果在未登录的情况下，不能直接进入转账页面，测试转账是成功的

攻击网站B的代码

后端代码实现

from flask import Flask
from flask import render_template
app = Flask(name)
@app.route(’/’)

def index():

return render_template(‘temp_index.html’)
if name == ‘main’:

app.run(debug=True, port=8000)



前端代码实现

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>我是网站B</h1>
<form method=“post” action=“http://127.0.0.1:9000/transfer”>

<input type=“hidden” name=“to_account” value=“999999”>

<input type=“hidden” name=“money” value=“190000” hidden>

<input type=“submit” value=“点击领取优惠券”>

</form>
</body>

</html>



运行测试，在用户登录网站A的情况下，点击网站B的按钮，可以实现伪造访问

在网站A中模拟实现 csrf_token 校验的流程

添加生成 csrf_token 的函数

# 生成 csrf_token 函数
def generate_csrf():
    return bytes.decode(base64.b64encode(os.urandom(48)))


在渲染转账页面的，做以下几件事情：

生成 csrf_token 的值
在返回转账页面的响应里面设置 csrf_token 到 cookie 中
将 csrf_token 保存到表单的隐藏字段中



@app.route('/transfer', methods=["POST", "GET"])
def transfer():
    ...
    # 生成 csrf_token 的值
    csrf_token = generate_csrf()
<span class="hljs-comment"># 渲染转换页面，传入 csrf_token 到模板中</span>
response = make_response(render_template(<span class="hljs-string">'temp_transfer.html'</span>, csrf_token=csrf_token))
<span class="hljs-comment"># 设置csrf_token到cookie中，用于提交校验</span>
response.set_cookie(<span class="hljs-string">'csrf_token'</span>, csrf_token)
<span class="hljs-keyword">return</span> response



在转账模板表单中添加 csrf_token 隐藏字段

<form method="post">
    <input type="hidden" name="csrf_token" value="{{ csrf_token }}">
    <label>账户：</label><input type="text" name="to_account" placeholder="请输入要转账的账户"><br/>
    <label>金额：</label><input type="number" name="money" placeholder="请输入转账金额"><br/>
    <input type="submit" value="转账">
</form>


运行测试，进入到转账页面之后，查看 cookie 和 html 源代码



在执行转账逻辑之前进行 csrf_token 的校验

if request.method == "POST":
    to_account = request.form.get("to_account")
    money = request.form.get("money")
    # 取出表单中的 csrf_token
    form_csrf_token = request.form.get("csrf_token")
    # 取出 cookie 中的 csrf_token
    cookie_csrf_token = request.cookies.get("csrf_token")
    # 进行对比
    if cookie_csrf_token != form_csrf_token:
        return 'token校验失败，可能是非法操作'
    print('假装执行转操作，将当前登录用户的钱转账到指定账户')
    return '转账 %s 元到 %s 成功' % (money, to_account)

运行测试，用户直接在网站 A 操作没有问题，再去网站B进行操作，发现转账不成功，因为网站 B 获取不到表单中的 csrf_token 的隐藏字段，而且浏览器有同源策略，网站B是获取不到网站A的 cookie 的，所以就解决了跨站请求伪造的问题
在 Flask 项目中解决 CSRF 攻击
在 Flask 中， Flask-wtf 扩展有一套完善的 csrf 防护体系，对于我们开发者来说，使用起来非常简单
在 FlaskForm 中实现校验

设置应用程序的 secret_key

用于加密生成的 csrf_token 的值



app.secret_key = "#此处可以写随机字符串#"


在模板的表单中添加以下代码

<form method="post">
    {{ form.csrf_token() }}
    {{ form.username.label }} {{ form.username }}<br/>
    {{ form.password.label }} {{ form.password }}<br/>
    {{ form.password2.label }} {{ form.password2 }}<br/>
    {{ form.submit }}
</form>


渲染出来的前端页面为：



设置完毕，cookie 中的 csrf_token 不需要我们关心，会自动帮我们设置

单独使用

设置应用程序的 secret_key

用于加密生成的 csrf_token 的值



app.secret_key = "#此处可以写随机字符串#"


导入 flask_wtf.csrf 中的 CSRFProtect 类，进行初始化，并在初始化的时候关联 app 

from flask.ext.wtf import CSRFProtect
CSRFProtect(app)


如果模板中有表单，不需要做任何事。与之前一样:

<form method="post">
    {{ form.csrf_token }}
    ...
</form>


但如果模板中没有表单，你仍需要 CSRF 令牌:


<form method="post" action="/">
    <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
</form>

    
csrf中间件
　　csrf跨站请求伪造
　　Django框架中请求伪造保护机制
装饰器

from django.views.decorators.csrf import csrf_exempt,csrf_protect

csrf_exempt 加在视图上，表示当前视图不进行csrf校验
csrf_protect 加在视图上，表示当前视图进行csrf校验
注意点：
CBV情况，csrf_exempt装饰器要加在dispatch上
process_request(self, request):
　　　　从cookie中获取csrftoken的值 —— 》 request.META['CSRF_COOKIE']
process_view：
判断视图是否加上csrf_exempt，
有就不在进行csrf校验
没有继续进行校验

判断请求方式是'GET', 'HEAD', 'OPTIONS', 'TRACE'，
是的话，不进行校验
不是的话，进行校验

　　 3.进行校验的：
1、

csrf_token = request.META.get('CSRF_COOKIE')   #  csrf_token = cookie中获取csrftoken的值

2、

先尝试从request.POST获取csrfmiddlewaretoken对应的值
request_csrf_token = request.POST.get('csrfmiddlewaretoken', '')  # 获取隐藏标签的csrfmiddlewaretoken对应的值
再尝试从请求头中获取X-csrftoken的值
request_csrf_token = request.META.get(settings.CSRF_HEADER_NAME, '')

3、拿csrf_token和request_csrf_token 进行对比

对比成功，校验成功


对比不成功，校验失败，拒绝

 

转载于:https://www.cnblogs.com/xinjie123/p/10962584.html

    

from django.views.decorators.csrf import csrf_exempt
from django.views.decorators.csrf import csrf_protect
@csrf_exempt
def users(request):
    user_list = ['alex', 'oldboy']

MIDDLEWARE = {

}


小知识
    CBV知识点, csrf时需要使用
    -@method_decorator(csrf_exempt)
    -在dispatch方法中 （单独设置不行）
from django.utils.decorators import method_decorator
    
    class StudentsView(View):
        @method_decorato(csrf_exempt)   
        def dispatch(self,request, *args, **kwargs):
            return super(StudentsView, self).dispatch(request, *args, **kwargs)

        def post(self, request, *args, **kwargs):

                return HttpResponse('POST')

    @method_decorator(csrf_exempt, name='dispatch')
    class StudentsView(View):
        def get(self, request, *args, **kwargs):
            pass

总结:
    本质: 基于反射来实现
    流程: 路由 view函数在到dispatch(反射)
    取消csrf认证(装饰器要加到dispatch方法上且需要使用method_decorator装饰)
    
    扩展:
         - csrf
         - 基于中间件的process_view方法
         - 装饰器给单独函数进行设置 (认证/无需认证)

FBV CBV
    1.restful 规范 (建议)

A 用户管理:
    http://www.oldboyedu.com/add_user/
    返回值:
        {
        code:123 
        }

url(r^'order/', views.order)

restful规范(建议)  第一条规范
对于订单(FBV)
def order(request):  #order 包含增删改查
    if request.method == "GET":
        return HttpResponse("获取订单")
    if request.method == "POST"
        return HttpResponse("创建订单")
    if request.method == "PUT":
        return HttpResponse("更新订单")
    if request.method == "DEL":
        return HttpResponse("删除订单")

对于订单(CBV)
url(r'^order/', views.OrderView.as_view()),
class OrderView(View):
    def get(self, request, *args, **kwargs):
        return HttpResponse("获取订单")
        pass
    def post(self, request, *args, **kwargs):
        return HttpResponse("创建订单")
        pass
    def put(self, request, *args, **kwargs):
        return HttpResponse("更新订单")
        pass
    def delete(self, request, *args, **kwargs):
        return HttpResponse("删除订单")
        pass
 

 

转载于:https://www.cnblogs.com/Liang-jc/p/9242987.html