csrf(跨站请求伪造)

时间:2019-05-08 15:03:00 来源:互联网 作者: 神秘的大神 字体:

跨站请求伪造如何体现出功能?

每个用户的form表单都会生成一个字符串,当然(这个后端是肯定知道这个字符串是什么,因为他们公用一套加密方案).假设现在有一个钓鱼网站想模仿正经网站,比如A向B转100元钱,但是钓鱼网站却不知道form表单的字符串是多少,即使伪造了一个网站(首页显示一模一样),填写了相关信息后,向正经网站后台发送转款请求,但是,由于没有特有的字符串,会被后台认为该请求是伪造请求,从而无法实现转款,

 

 

return render(request, 'index.html')

可以得知,每次return 时,都会携带一些信息由request返回,这里面就携带,比如csrftoken的相关信息,这样,当提交表单时候,我们可以将csrf传递到后端,检测是否和传到前端时一样,如果一样,则接受表单数据,否则,拒绝接受表单数据。