【目录】 一、Django 中间件 1、中间件的介绍 2、自定义中间件 二、csrf跨站请求伪造 1、为何要使用-csrf跨站请求伪造 2、如何符合校验 3、scrf 相关装饰器 三、补充知识-模块 importlib 四、基于Django 中间件的一个重要编程思想 一、Django 中间件 1、中 ...
分类:
编程语言 时间:
2020-06-08 23:47:57
阅读次数:
82
TCP三次握手四次挥手 问题 TCP建立连接为什么是三次握手,而不是两次或四次? TCP,名为传输控制协议,是一种可靠的传输层协议,IP协议号为6。 顺便说一句,原则上任何数据传输都无法确保绝对可靠,三次握手只是确保可靠的基本需要。 举个日常例子,打电话时我们对话如下: 对应为客户端与服务器之间的通 ...
分类:
其他好文 时间:
2020-06-08 22:05:19
阅读次数:
67
CSRF漏洞详细说明 通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header。鉴于种种原因,这三种方法都不是那么完美,各有利弊。 CSRF的分类 在跨站请求伪造(CSRF)攻击里面,攻击者通过用 ...
分类:
其他好文 时间:
2020-06-08 12:22:40
阅读次数:
52
CSRF漏洞 **CSRF概念:**CSRF跨站点请求伪造(Cross—Site Request Forgery) 原理: 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; ? 2. 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常 ...
分类:
其他好文 时间:
2020-06-07 19:18:22
阅读次数:
62
一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准. 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务 ...
分类:
其他好文 时间:
2020-06-07 16:34:09
阅读次数:
58
今日内容概要 forms组件 cookie与session django中间件 目前可以说是所有web框架里面写的最好的 csrf跨站请求伪造 视图函数(CBV)如何添加装饰器 forms组件源码 """ 切入点: form_obj.is_valid() """ def is_valid(self) ...
分类:
其他好文 时间:
2020-06-06 22:00:28
阅读次数:
78
####基本概念 CSRF(Cross-Site Request Forgery),跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向相关对应服务器发送请求,从而完成非法操作。 ####攻击 ...
分类:
其他好文 时间:
2020-06-03 00:51:54
阅读次数:
81
##什么是 CSRF 攻击,如何避免? 答: CSRF是跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性。 你可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作, ...
分类:
其他好文 时间:
2020-06-02 09:20:26
阅读次数:
71
这里就总结一下,自己没有做出来的原因:没队友交流、时间紧 Web2 比赛时抓包看cookie里面有jwt,就去google发现是jwt伪造,原题也看到了,只要能伪造好jwt,就能直接登录无需密码 卡题原因:不知道jwt的密钥,现学现卖不是强项 说实话,也没有想到要用到解密工具,因为既然不知道admi ...
分类:
Web程序 时间:
2020-06-01 13:31:27
阅读次数:
121
csrf(跨站请求伪造攻击) 利用受害者尚未失效的身份认证信息,诱骗其点击恶意链接或包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求。 用户在关闭浏览器的时候,他的身份认证信息不会立刻失效。 用户在登录正常网站a的时候,同时打开了一个危险网站b,那么攻击者就可以通过危险网站b ...
分类:
其他好文 时间:
2020-06-01 11:42:48
阅读次数:
84
