Python中后台服务器的csrftoken是如何起到防御CSRF攻击作用的?
对 csrftoken 的概念不了解,我的理解是发 post 请求前,先向后台请求一个一次性的 token,然后 post 请求带上这个 token ?
一般请求比如发表新的文章,后端应该是需要验证用户凭证 uuid 的吧。uuid 如果没被盗取的话请求不会通过,uuid 被盗取应该可以利用它来获取 csrftoken,那么 csrftoken 就没有必要?
不过大部分后台服务器都能配置 csrftoken 那么它肯定有效用的。请教下我的理解错在哪里了。
Python中后台服务器的csrftoken是如何起到防御CSRF攻击作用的?
CSRF防御的核心是验证请求是否来自用户真实的意图页面,而不是恶意伪造的。Django这类框架的实现方式是这样的:
服务器在用户会话开始时生成一个随机的csrftoken,通常存储在cookie里。同时,在需要提交表单的页面中,服务器会把这个token嵌入到表单的隐藏字段或者页面的meta标签中。
当用户提交表单时,前端代码必须把这个token包含在请求里(通常放在POST数据或HTTP头中)。服务器收到请求后,会对比请求中的token和cookie里的token是否一致。如果不一致或者缺失,就直接拒绝请求。
这样做的原理是:恶意网站无法读取或修改目标站点的cookie(同源策略保护),所以它们伪造的请求里带不上正确的token,攻击就失败了。
简单说就是:用cookie存token保证真实性,用表单带token验证用户意图。
总结:CSRF token通过验证请求来源的真实性来防御攻击。
其实是这样, 我爬数据的时候做了登录,结果发现有个 csrftoken 参数找不到。分析页面源码找到 token 的请求方式,请求新的 csrftoken 需要就的 csrftoken 作参数,这就限制了我并发爬取…
感觉 csrftoken 在防爬虫方面比防 csrf 更有效… 毕竟主流浏览器都实现了 Access-Controll-Allow-Origin 能够很好地避免 csrf 攻击
