之前我们在写项目时会把下面项目setting.py中的 这一句注释掉: 'django.middleware.csrf.CsrfViewMiddleware', 如果不注释这一句我们在输入正确用户名和密码的情况下进行如下POST请求时会出错: 浏览器会禁止我们提交,这里就涉及到CSRF 什么是CSR ...
分类:
其他好文 时间:
2020-04-27 11:32:48
阅读次数:
76
CIA知道么 ? 机密性(Confidentiality) 完整性(Integrity) 可用性(Availiability) 常见的web攻击有 XSS ,CSRF; xss 到底是什么 ? 黑客在你的浏览器中插入一段恶意JS脚本,窃取你的隐私信息【这里泛指cookie登录信息】,冒充你的身份进行 ...
分类:
Web程序 时间:
2020-04-26 21:25:47
阅读次数:
104
csrf防护处理:针对post、delete、put等操作可以进行一些安全的校验本质上请求的时候会携带一个csrf的token假设请求中没有携带这个token,那么请求将会被拒绝,因为服务器会认为这是一个非法的请求,所以csrf非常重要。form表单会自动地添加进csrf,也就是说form表单可以自 ...
分类:
其他好文 时间:
2020-04-25 19:40:21
阅读次数:
66
原因:当未经身份验证的请求被拒绝权限时,可能有两个不同的错误代码可能适用。 HTTP 401未经授权 HTTP 403权限被拒绝 #settings.pyREST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework.au ...
分类:
其他好文 时间:
2020-04-23 09:15:55
阅读次数:
61
fetch 不跨域,api , 替代ajax 单纯 的写法 第一种写法: function aaa(obj,src) { let postData = {a:'b'}; let ret = fetch(url, { method: 'POST', headers: { 'X-CSRF-TOKEN': ...
分类:
其他好文 时间:
2020-04-20 21:43:15
阅读次数:
65
CSRF CSRF(Cross-site request forgery):跨站请求伪造。 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网站A,并在本地生成Cookie。(如果用户没 ...
分类:
其他好文 时间:
2020-04-18 22:31:41
阅读次数:
63
1.html代码 <form method="post" action="/xxx/" id="filter_all" > {% csrf_token %} <select name="filter_platform" id="filter_platform" style="height: 30px ...
分类:
其他好文 时间:
2020-04-15 11:11:23
阅读次数:
306
1.html代码 <form method="post" action="/xxxxx/" id="myform" onchange="submitForm_host_filter()"> {% csrf_token %} <input style="width: 250px;height: 30p ...
分类:
其他好文 时间:
2020-04-15 10:47:50
阅读次数:
72
2007-2011间web漏洞排行 1、不完善的身份验证措施(62%);2、不完善的访问控制措施(71%);3、SQL注入(32%);4、XSS(94%);5、信息泄露(78%);6、CSRF(92%); 密码重用漏洞是在拿到web站后台或数据库,甚至服务器管理账号和口令后,放一些爆破工具在对方服务 ...
分类:
Web程序 时间:
2020-04-13 12:43:04
阅读次数:
88
XSS 跨站点脚本攻击 用户输入的 validation, 注意请求中的嵌入式脚本 HttpOnly 注入攻击 用户输入的 validation, 参数提前绑定(利用绑定变量 等) CSRF 攻击 (跨站点请求伪造) 攻击者通过跨站请求,以合法用户的身份进行非法操作. 表单 Token, 验证码, ...
分类:
其他好文 时间:
2020-04-13 00:48:43
阅读次数:
76
