https://haoluobo.com to be continue.... Mon, 16 Jul 2012 01:41:16 +0000 zh-Hans hourly 1 https://wordpress.org/?v=6.8.2 https://haoluobo.com/2012/07/csrf-django/ https://haoluobo.com/2012/07/csrf-django/#comments Mon, 16 Jul 2012 01:41:16 +0000 /?p=10608 CSRF（Cross-site request forgery） 中文名是跨站请求伪造。
简单的说是用户访问了安全的网站A（比如支付宝）并登录，之后用户又访问了问题网站B。网站B包含恶意代码，在访问网站B的时候，网站B的网页偷偷的向网站A发起post(get)请求进行转账操作。由于你已经登录过网站A，网站A误以为请求是用户自己发起的安全请求。在操作成功后你的钱啥的也不见了。
当前Django的处理方法：
在用户访问网站时为用户生成一个CSRF防范用的token并将token保存到cookie中。每次用户发起请求时需要将token的值作为表单字段一同提交。服务端对用户提交的token值同cookie中的token进行比较，如果相同则认为安全。
由于浏览器对cookie的访问有严格的限制，问题网站B无法访问到网站A的cookie无法正确的设置token。

]]> https://haoluobo.com/2012/07/csrf-django/feed/ 6