Django安全之csrf_token认证

flask是一个轻量级python框架，与之齐名的则是django。flask的优势在于轻量，劣势在于过于轻量。也因为轻量，flask略去了很多重要功能。

就比如今天说的csrf_token。
 

什么是csrf_token

CSRF（Cross-site request forgery），中文名称：跨站请求伪造。攻击者盗用你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账…造成的问题包括：个人隐私泄露以及财产安全。

 

举例说明

1. GET类型的CSRF
针对get请求，黑客一般会给你发送一张图片，在图片的src里执行请求。

<!-- GET类型csrf攻击 -->
<img src="http://127.0.0.1:10086/payfor?money=100&to=张三" alt="">

2. POST类型的CSRF
针对post请求，黑客一般会伪造一个表单，在表单提交的时候发送请求。

<!-- POST类型csrf攻击 -->
<form action="http://127.0.0.1:10086/payfor" method="POST" target="_self">
    <input type="hidden" name="money" value="10000" />
    <input type="hidden" name="to" value="hacker" />
</form>
<script> document.forms[0].submit(); </script> 

3. 链接类型的CSRF
链接类型的CSRF并不常见，比起其他两种用户打开页面就中招的情况，这种需要用户点击链接才会触发。这种类型通常是在论坛中发布的图片中嵌入恶意链接，或者以广告的形式诱导用户中招，攻击者通常会以比较夸张的词语诱骗用户点击，例如：

<a href="http://test.com/csrf/withdraw.php?amount=1000&for=hacker" taget="_blank">
    重磅消息！！
<a/>

 

总结

而关于数据安全方面，django表现出色的地方还有很多。也因此，我们建议新手先掌握django，融汇贯通了django的设计思路，再上手flaks敏捷开发才是最优方案。