python中CSRF保护机制–表单和AJAX的应用
####csrf保护机制
为什么需要CSRF保护机制:一般网站只使用账号验证并使用了状态保持,某些人就会利用隐藏表单发起跨站请求,这些网站就有被攻击的危险。
例如: 以form表单的形式来做一个CSRF保护机制
1.做一个登陆界面(登录成功后,cookie记录sid),登陆成功后就会跳转到转账界面(提交表单,验证sid,转账成功)
2.做一个攻击的网站界面,
利用隐藏的form表单,如浏览器发起跨站请求这样就攻击的上述网站,转账成功。
保护机制:flask组件flask-wtf中封装csrf保护机制
做一个随机令牌,用户登陆的时候随机令牌就会被保存到cookie和表单中,用户登陆成功后会进入转账页面,发送转账post请求的时候,校验表单和cookie中的令牌是否一致。
这样你去用跨站请求就不能去转账,因为你获取不到它的随机令牌,不仅仅是因为它是随机的令牌,而且有个原则是同源策略。
例如:利用AJAX发送POST请求来实现CSRF保护机制
发送AJAX请求之前,每个AJAX请求都会设置一个请求头。如果你再发一个AJAX请求,它验证的是session和请求头里面来进行校验
Github上有例子:https://github.com/xiaofeifeiglp/pc_example