使用Django的CSRF攻击

问题描述 投票:0回答:1

我正在处理Django项目,我可以通过外部url或文件进行CSRF攻击。如何阻止它?

攻击包括:

  1. 我创建了具有以下内容的文件:
<html>
   <body>
   <script>history.pushState('', '', '/')</script>
   <form action="https://XXXXXX.com/YYYYY/AAAAAA/LLLLLL">
       <input type="submit" value="Submit request" />
    </form>
   </body>
</html>
  1. 我在页面上登录
  2. 我在同一浏览器中打开文件
  3. 提交按钮

接受请求并执行操作。

感谢一切:)

django security csrf
1个回答
0
投票

Django是否有特定问题?我还必须处理CSRF攻击,该文档对于了解漏洞和解决方法非常有用:Cross-Site_Request_Forgery_Prevention_Cheat_Sheet

另外,我发现这个Django中间件似乎很容易实现。看一下这个! https://docs.djangoproject.com/en/3.0/ref/csrf/

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.