草庐IT

csrf_exempt

全部标签

python - Django REST 框架 CSRF 失败 : CSRF cookie not set

我正在使用djangorest框架通过IOS执行API调用我收到以下错误“CSRF失败:未设置CSRFcookie。”这是我的djangoAPI代码:classLoginView(APIView):"""Listallsnippets,orcreateanewsnippet."""@csrf_exemptdefget(self,request,format=None):startups=Startup.objects.all()serializer=StartupSerializer(startups,many=True)returnResponse(serializer.data)@
CSRFpythoncodesectiondjangodjango-viewsdjango-rest-framework

CSRF漏洞

一、CSRF漏洞介绍:CSRF是指利用受害者尚未失效的身份认证信息(cookie、会话等信息),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求,从而完成非法操作(如转账、改密、信息修改等操作)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用二、CSRF类型:get请求型CSRF        只需要构造URL,然后诱导受害者访问利用。POST请求型CSRF        构造自动提交的表单,诱导受惠者访问或者点击三、CSRF漏洞危害:以受害者的名义发送邮件、发消息、盗取受害者的账号,甚至购买商品、虚拟货币转账、修
漏洞CSRFmargin-leftmarginstyle安全前端

Jquery 和 Django CSRF token

我有2个html页面。一个父页面和一个子页面。子页面包含一个提交按钮,该按钮在父页面上运行代码以提交Ajax消息。我使用$.load()方法加载子页面,然后在单击按钮时运行$.ajax.POST方法。此post方法仅将JSON字符串传递给Python代码。当我在除IE之外的任何浏览器上执行此操作时,它都可以正常工作。但是,当我在IE中运行此代码时。我收到有关CSRFtoken的Python/Django错误。我认为原因是因为子页面只是当前页面本身的刷新,服务器端代码正在运行。有谁知道我应该如何让它发挥作用。干杯, 最佳答案 您没有通
JqueryDjangosectionstrongtokenpythoncsrf

Jquery 和 Django CSRF token

我有2个html页面。一个父页面和一个子页面。子页面包含一个提交按钮,该按钮在父页面上运行代码以提交Ajax消息。我使用$.load()方法加载子页面,然后在单击按钮时运行$.ajax.POST方法。此post方法仅将JSON字符串传递给Python代码。当我在除IE之外的任何浏览器上执行此操作时,它都可以正常工作。但是,当我在IE中运行此代码时。我收到有关CSRFtoken的Python/Django错误。我认为原因是因为子页面只是当前页面本身的刷新,服务器端代码正在运行。有谁知道我应该如何让它发挥作用。干杯, 最佳答案 您没有通
JqueryDjangosectionstrongtokenpythoncsrf

python - CSRF 攻击是否适用于 API?

我正在编写一个DjangoRESTfulAPI来支持iOS应用程序,并且每当我编写处理POST请求的方法时,我都会遇到Django的CSRF保护。我的理解是iOS管理的cookie不会被应用程序共享,这意味着我的sessioncookie是安全的,没有其他应用程序可以使用它们。这是真的?如果是这样,我可以将我的所有API函数都标记为CSRF-exempt吗? 最佳答案 这不是CSRF保护的目的。CSRF保护是为了防止将数据直接发布到您的站点。换句话说,客户端实际上必须通过批准的路径发布,即查看表单页面,填写它,提交数据。API几乎排
pythonCSRFsectionAPIdjangosecurity

python - CSRF 攻击是否适用于 API?

我正在编写一个DjangoRESTfulAPI来支持iOS应用程序,并且每当我编写处理POST请求的方法时,我都会遇到Django的CSRF保护。我的理解是iOS管理的cookie不会被应用程序共享,这意味着我的sessioncookie是安全的,没有其他应用程序可以使用它们。这是真的?如果是这样,我可以将我的所有API函数都标记为CSRF-exempt吗? 最佳答案 这不是CSRF保护的目的。CSRF保护是为了防止将数据直接发布到您的站点。换句话说,客户端实际上必须通过批准的路径发布,即查看表单页面,填写它,提交数据。API几乎排
pythonCSRFsectionAPIdjangosecurity

javascript - Django csrf token + Angularjs

我有django在使用mod_wsgi的apache服务器上运行,还有一个angularjs应用程序直接由apache提供服务,而不是由django提供。我想对django服务器(运行rest_framework)进行POST调用,但我遇到了csrftoken问题。有没有办法从服务器设置token而不将{%csrftoken%}作为模板的一部分(因为这些页面没有通过django)?我希望能够通过GET请求获取csrftoken作为cookie。然后我希望能够使用csrftokencookie值向django服务器发出POST请求。 最佳答案
javascriptAngularjscodesectiondjangopython

javascript - Django csrf token + Angularjs

我有django在使用mod_wsgi的apache服务器上运行,还有一个angularjs应用程序直接由apache提供服务,而不是由django提供。我想对django服务器(运行rest_framework)进行POST调用,但我遇到了csrftoken问题。有没有办法从服务器设置token而不将{%csrftoken%}作为模板的一部分(因为这些页面没有通过django)?我希望能够通过GET请求获取csrftoken作为cookie。然后我希望能够使用csrftokencookie值向django服务器发出POST请求。 最佳答案
javascriptAngularjscodesectiondjangopython

spring - CSRF token 在登录期间过期

我正在开发SpringWeb应用程序,我需要避免登录页面上过期csrftoken的问题,因为如果用户等待太久并尝试登录,解决csrf问题的唯一方法是重新加载页面并尝试再次登录。但它对用户不友好,我想避免这种情况。第一个问题:一般情况下是否可能(通过springsecurity3.2.4)?不禁用csrf。我尝试对登录页面使用security="none"和springseciruty"login_check",但它不起作用,我得到无限重定向或者我收到错误,即没有映射url"myhost/login_check"。第二个问题:我该怎么做? 最佳答案
springtokensessionsectioncsrfspring-security

spring - CSRF token 在登录期间过期

我正在开发SpringWeb应用程序,我需要避免登录页面上过期csrftoken的问题,因为如果用户等待太久并尝试登录,解决csrf问题的唯一方法是重新加载页面并尝试再次登录。但它对用户不友好,我想避免这种情况。第一个问题:一般情况下是否可能(通过springsecurity3.2.4)?不禁用csrf。我尝试对登录页面使用security="none"和springseciruty"login_check",但它不起作用,我得到无限重定向或者我收到错误,即没有映射url"myhost/login_check"。第二个问题:我该怎么做? 最佳答案
springtokensessionsectioncsrfspring-security
21222324252627