后台服务器的 csrftoken 是如何起到防御 csrf 的作用的? - V2EX
首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
推荐学习书目
Learn Python the Hard Way
Python Sites
PyPI - Python Package Index
http://diveintopython.org/toc/index.html
Pocoo
值得关注的项目
PyPy
Celery
Jinja2
Read the Docs
gevent
pyenv
virtualenv
Stackless Python
Beautiful Soup
结巴中文分词
Green Unicorn
Sentry
Shovel
Pyflakes
pytest
Python 编程
pep8 Checker
Styles
PEP 8
Google Python Style Guide
Code Style from The Hitchhiker's Guide
beny2mor
V2EX    Python

后台服务器的 csrftoken 是如何起到防御 csrf 的作用的?

  •   
  •   beny2mor 2018 年 6 月 23 日 3071 次点击
    这是一个创建于 2782 天前的主题,其中的信息可能已经有所发展或是发生改变。
    对 csrftoken 的概念不了解,我的理解是发 post 请求前,先向后台请求一个一次性的 token,然后 post 请求带上这个 token ?

    一般请求比如发表新的文章,后端应该是需要验证用户凭证 uuid 的吧。uuid 如果没被盗取的话请求不会通过,uuid 被盗取应该可以利用它来获取 csrftoken,那么 csrftoken 就没有必要?
    不过大部分后台服务器都能配置 csrftoken 那么它肯定有效用的。请教下我的理解错在哪里了。
    第 1 条附言    2018 年 6 月 23 日
    那么 csrftoken 比起 Access-Controll-Allow-Origin 有什么优势
  • csrftoken
  • uuid
  • 请求
  • token
    5 条回复
    wwqgtxx
        1
    wwqgtxx  
       2018 年 6 月 23 日 via iPhone
    你还是先查一下 csrf 这个简写是什么意思再过来问比较好
    ipwx
        2
    ipwx  
       2018 年 6 月 23 日 via iPhone
    楼上+1
    beny2mor
        3
    beny2mor  
    OP
       2018 年 6 月 23 日
    @wwqgtxx 跨域攻击... 那如果限制了 Access-Controll-Allow-Origin 还有必要使用 csrftoken 吗?
    beny2mor
        4
    beny2mor  
    OP
       2018 年 6 月 23 日
    @ipwx 其实是这样, 我爬数据的时候做了登录,结果发现有个 csrftoken 参数找不到。分析页面源码找到 token 的请求方式,请求新的 csrftoken 需要就的 csrftoken 作参数,这就限制了我并发爬取..
    感觉 csrftoken 在防爬虫方面比防 csrf 更有效.. 毕竟主流浏览器都实现了 Access-Controll-Allow-Origin 能够很好地避免 csrf 攻击
    wwqgtxx
        5
    wwqgtxx  
       2018 年 6 月 23 日 via iPhone   1
    @beny2mor Access-Controll-Allow-Origin 出现的还是比较晚的,部分古老的浏览器不支持,而 csrftoken 则没有这个问题,另外 csrftoken 还能阻止 get 模式下的跨域攻击,而 acao 并做不到(根据 mdn 文档,acao 对 get 请求无效)
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     4506 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 28ms UTC 06:57 PVG 14:57 LAX 22:57 JFK 01:57
    Do have faith in what you're doing.
    ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86