csrf攻击(Cross-Site Request Forgery)是一种网络攻击方式,利用用户已登录的身份,通过捏造要求进行歹意操作,如删除数据、发起转账等。
Python中可使用django框架提供的csrf_exempt装潢器来取消某个视图函数的CSRF检查,以下所示:
from django.views.decorators.csrf import csrf_exempt @csrf_exempt def my_view(request): # ...
但是,这其实不推荐,由于这会破坏了Django的安全机制,应当避免直接关闭CSRF防护。
在Django中,可使用csrf_token模板标签来生成CSRF令牌。在表单提交时,将令牌作为POST参数一并提交,在服务器端就能够检查要求会不会合法。
下面是一个例子:
<form action="/submit/" method="post"> {% csrf_token %} <input type="text" name="name" value="pidancode.com"> <button type="submit">提交</button> </form>
在Django项目中,可以在settings.py文件中找到关于CSRF的相关配置,以下所示:
CSRF_COOKIE_DOMAIN = None CSRF_COOKIE_NAME = 'csrftoken' CSRF_COOKIE_PATH = '/' CSRF_COOKIE_SECURE = False CSRF_FAILURE_VIEW = 'django.views.csrf.csrf_failure' CSRF_HEADER_NAME = 'HTTP_X_CSRFTOKEN' CSRF_TRUSTED_ORIGINS = []
第三方利用授权通常使用OAuth协议,在Python中可使用第三方包requests-oauthlib来实现。
以下是一个使用Twitter API进行第三方利用授权的示例代码:
import requests from requests_oauthlib import OAuth1 # Step 1: 获得request token twitter_consumer_key = 'your_consumer_key' twitter_consumer_secret = 'your_consumer_secret' oauth = OAuth1(twitter_consumer_key, client_secret=twitter_consumer_secret) response = requests.post('https://api.twitter.com/oauth/request_token', auth=oauth) if response.status_code == 200: request_token = dict(response.content.decode().split('&')) auth_url = 'https://api.twitter.com/oauth/authenticate?' + request_token['oauth_token'] print('请在浏览器中打开以下链接并授权:') print(auth_url) oauth_token = input('请输入授权后的oauth_token:') oauth_verifier = input('请输入oauth_verifier:') # Step 3: 获得access token oauth = OAuth1(twitter_consumer_key, client_secret=twitter_consumer_secret, resource_owner_key=request_token['oauth_token'], resource_owner_secret=request_token['oauth_token_secret'], verifier=oauth_verifier) response = requests.post('https://api.twitter.com/oauth/access_token', auth=oauth) if response.status_code == 200: access_token = dict(response.content.decode().split('&')) print('access_token:', access_token) else: print('获得access token失败!状态码:', response.status_code) else: print('获得request token失败!状态码:', response.status_code)
在示例代码中,Step 1中向Twitter API发送要求获得request token,并打印授权链接,用户需要在浏览器中打开链接并授权,授权成功后输入oauth_token和oauth_verifier,Step 3中再向Twitter API发送要求获得access token。
需要注意的是,Twitter API使用的是OAuth 1.0a,相对来讲比较复杂。针对其他第三方利用,可能会有区别的使用方法,具体需要参考对应的文档。
本文来源:https://www.yuntue.com/post/83261.html | 云服务器网,转载请注明出处!
微信扫一扫打赏
支付宝扫一扫打赏
