Introduction détaillée à XSS et CSRF

1. XSS

Cross Site Scripting ne doit pas être confondu avec l'abréviation de Cascading Style Sheets (CSS), donc l'attaque de cross-site scripting est abrégée en XSS. Des attaquants malveillants insèrent du code de script malveillant dans une page Web lorsqu'un utilisateur parcourt la page, le code de script intégré dans la page Web sera exécuté, atteignant ainsi l'objectif d'attaquer l'utilisateur de manière malveillante.

1. Workflow

a. Les utilisateurs malveillants saisissent du texte dans certaines zones publiques (par exemple, le formulaire de soumission de suggestions ou le formulaire de saisie du forum public de messages), et ces textes sont vus. par d'autres utilisateurs, mais ces textes ne sont pas seulement le texte qu'ils souhaitent saisir, mais incluent également des scripts qui peuvent être exécutés côté client. Par exemple :

<script>'Not Safe'</script>

b Soumission malveillante de ce formulaire

c. Informations sensibles de l'utilisateur telles que les cookies.

2. Exemple - Échec de la prévention des attaques XSS

 1 pinglu = []     # 评论列表 2  3 #提交表单 4 def commit(request): 5     if request.method == 'GET': 6         return render(request, 'commit.html') 7     else: 8         com = request.POST.get('commit') 9         pinglu.append(com)10         return redirect('/index.html/')11 12 13 #查看评论页面14 def index(request):15     return render(request, 'index.html', {'commit': pinglu})

view.py

 1 <!DOCTYPE html> 2 <html lang="en"> 3 <head> 4     <meta charset="UTF-8"> 5     <title>Title</title> 6 </head> 7 <body> 8 <h1>评论</h1> 9 <form action="/commit.html/" method="post">10     <input type="text" name="commit">11     <input type="submit" value="sumbit"> {{ error }}12 </form>13 </body>14 </html>

commit.html

 1 <!DOCTYPE html> 2 <html lang="en"> 3 <head> 4     <meta charset="UTF-8"> 5     <title>Title</title> 6 </head> 7 <body> 8 <h1>评论</h1> 9 {% for item in commit %}10     <div>{{ item|safe }}</div>11 {#    item后加safe，默认数据安全，django不会做特殊处理#}12 {% endfor %}13 </body>14 </html>

index.html

Dans l'exemple ci-dessus, si vous entrez le contenu suivant sur le commit. page html et soumettre :

<script> alert('恶意脚本') </script>

Cette ligne de code sera exécutée sur la page d'index et une boîte d'avertissement apparaîtra (si elle contient du code malveillant, elle sera exécutée)

3. Prévenir les attaques XSS

• Le moyen le plus direct est de ne pas utiliser de sécurité

{#    <div>{{ item|safe }}</div>#}<div>{{ item }}</div>

• Vous pouvez également filtrer dans les vues pour empêcher la soumission de caractères spéciaux à la base de données ou page web

def commit(request):if request.method == 'GET':return render(request, 'commit.html')else:
        com = request.POST.get('commit')if '<script>' in com:    # 过滤“<script>”关键字，防止恶意代码的提交return render(request, 'commit.html', {'error': '此条评论有毒，已被和谐'})else:
            pinglu.append(com)return redirect('/index.html/')

2. CSRF

La falsification de requêtes intersites CSRF (Cross-site request forgery), également connue sous le nom de « One Click Attack » ou Session Riding, souvent abrégé en CSRF ou XSRF, est une utilisation malveillante d'un site Web. Bien que cela ressemble à du cross-site scripting (XSS), cela est très différent du XSS, qui exploite les utilisateurs de confiance au sein d'un site, tandis que CSRF exploite les sites Web de confiance en masquant les demandes des utilisateurs de confiance. Par rapport aux attaques XSS, les attaques CSRF ont tendance à être moins populaires (les ressources pour les empêcher sont donc également assez rares) et difficiles à prévenir, elles sont donc considérées comme plus dangereuses que XSS.

1. Workflow

L'attaque fonctionne en incluant des liens ou des scripts dans les pages accessibles par les utilisateurs autorisés :

2. Comment empêcher dans Django

Django implémente la fonction d'empêcher la falsification de requêtes intersites pour les utilisateurs, qui est complétée via le middleware django.middleware.csrf.CsrfViewMiddleware. La fonction anti-falsification de requêtes intersites dans Django est divisée en globale et locale.

Global :

• Activer le middleware django.middleware.csrf.CsrfViewMiddleware

Partie :

from django.views.decorators.csrf import csrf_exempt,csrf_protect

• @csrf_protect，为当前函数强制设置防跨站请求伪造功能，即便settings中没有设置全局中间件

• @csrf_exempt，取消当前函数防跨站请求伪造功能，即便settings中设置了全局中间件。

 3. django中的具体应用方法

• form表单中添加{% csrf_token %}

若form表单中未添加{% csrf_token %}，则会报403错误。

#settings.py中打开MIDDLEWARE设置'django.middleware.csrf.CsrfViewMiddleware',

1 from django.shortcuts import render, HttpResponse, redirect2 3 def csrf_test(request):4     if request.method == 'GET':5         return render(request, 'csrf_test.html')6     else:7         return HttpResponse('ok')

views.py

 1 <!DOCTYPE html> 2 <html lang="en"> 3 <head> 4     <meta charset="UTF-8"> 5     <title>csef_test</title> 6 </head> 7 <body> 8 <form action="/csrf_test.html/" method="post"> 9     <input type="text" name="user" id="user">10     <input type="submit" value="submit">11 </form>12 13 </body>14 </html>

csef_test.html

修改csef_test.html：

 1 <!DOCTYPE html> 2 <html lang="en"> 3 <head> 4     <meta charset="UTF-8"> 5     <title>csef_test</title> 6 </head> 7 <body> 8 <form action="/csrf_test.html/" method="post"> 9     {% csrf_token %}10     <input type="text" name="user" id="user">11     <input type="submit" value="submit">12 </form>13 14 </body>15 </html>

form表单中添加{% csrf_token %}

• 全站禁用，即将settings.py中的 'django.middleware.csrf.CsrfViewMiddleware' 注释掉即可

• 基于FBV视图的局部禁用和使用

 1 #settings.py 2 #启用 'django.middleware.csrf.CsrfViewMiddleware', 3  4  5 from django.views.decorators.csrf import csrf_exempt 6  7  8 @csrf_exempt 9 def csrf_test(request):10     if request.method == 'GET':11         return render(request, 'csrf_test.html')12     else:13         return HttpResponse('ok')

局部禁用

 1 #settings.py 2 #禁用 #'django.middleware.csrf.CsrfViewMiddleware', 3  4  5 from django.views.decorators.csrf import csrf_protect 6  7  8 @csrf_protect 9 def csrf_test(request):10     if request.method == 'GET':11         return render(request, 'csrf_test.html')12     else:13         return HttpResponse('ok')

局部使用

•  基于CBV视图的（只能局部使用或禁用类，不能在类方法里局部使用或禁用

 1 #settings.py 2 #禁用    'django.middleware.csrf.CsrfViewMiddleware', 3  4  5 from django.views import View 6 from django.views.decorators.csrf import csrf_protect 7 from django.utils.decorators import method_decorator 8  9 10 @method_decorator(csrf_protect, name='dispatch')11 class Foo(View):12     def get(self, request):13         pass14 15     def post(self, request):16         pass

局部使用

 1 #settings.py 2 #启用    'django.middleware.csrf.CsrfViewMiddleware', 3  4  5 from django.views import View 6 from django.views.decorators.csrf import csrf_exempt 7 from django.utils.decorators import method_decorator 8  9 10 @method_decorator(csrf_exempt, name='dispatch')11 class Foo(View):12     def get(self, request):13         pass14 15     def post(self, request):16         pass

局部禁用

• Ajax提交数据时，携带CSRF

 1 <!DOCTYPE html> 2 <html lang="en"> 3 <head> 4     <meta charset="UTF-8"> 5     <title>csef_test</title> 6 </head> 7 <body> 8 <form action="/csrf_test.html/" method="post"> 9     {% csrf_token %}10     <input type="text" name="user" id="user">11 {#    <input type="submit" value="submit">#}12     <a onclick="submitForm();">Ajax提交表单</a>13 </form>14 15 <script src="/static/jquery-3.2.1.js"></script>16 <script>17     function submitForm() {18             var csrf = $("input[name='csrfmiddlewaretoken']").val()19             var user = $("#user").val()20             $.ajax({21                 url: '/csrf_test.html/',22                     type: 'POST',23                     data: {"user": user, "csrfmiddlewaretoken": csrf},24                     success: function (arg) {25                             console.log(arg);26           }27             })28   }29 </script>30 </body>31 </html>

Ajax重写csrf_test,html，csrf数据存放于data中

 1 <!DOCTYPE html> 2 <html lang="en"> 3 <head> 4     <meta charset="UTF-8"> 5     <title>csef_test</title> 6 </head> 7 <body> 8 <form action="/csrf_test.html/" method="post"> 9     {% csrf_token %}10     <input type="text" name="user" id="user">11 {#    <input type="submit" value="submit">#}12     <a onclick="submitForm();">Ajax提交表单</a>13 </form>14 15 <script src="/static/jquery-3.2.1.js"></script>16 {#专门处理cookie的插件，提取cookie字符串#}17 <script src="/static/jquery.cookie.js"></script>18 19 {#csrf数据放于data中#}20 {#<script>#}21 {#    function submitForm() {#}22 {#            var csrf = $("input[name='csrfmiddlewaretoken']").val();#}23 {#            var user = $("#user").val();#}24 {#            $.ajax({#}25 {#                url: '/csrf_test.html/',#}26 {#                    type: 'POST',#}27 {#                    data: {"user": user, "csrfmiddlewaretoken": csrf},#}28 {#                    success: function (arg) {#}29 {#                            console.log(arg);#}30 {#          }#}31 {#            })#}32 {#  }#}33 {#</script>#}34 35 {#csrf数据放于请求头中#}36 <script>37     function submitForm() {38             var csrf = $.cookie('csrftoken');39             var user = $("#user").val();40             $.ajax({41                 url: '/csrf_test.html/',42                     type: 'POST',43                     headers: {'X-CSRFToken': csrf},44                     data: {"user": user},45                     success: function (arg) {46                             console.log(arg);47           }48             })49   }50 </script>51 52 53 54 </body>55 </html>

Ajax重写csrf_test.html，csrf数据存放于headers中

注意：{% csrf_token %}和cookie中的csrftoken值不一样。

form表单中的隐藏csrf_token

 cookie中

 

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!