文章目录

• • • • • Django 默认csrf 防护原理剖析
    • 防护形式
    • • 结论:

Django 默认csrf 防护原理剖析

防护形式

• 在我们提交表单的时候 如果没有提交csrf的值会发生csrf验证错误,我们需要做如下两部
• 在模板文件 表单中添加 csrf_token的值

  <form action="">
          
          <button type="button"  id="login">登录</button>
          {% csrf_token %} # 这里加上
      </form>
      
  

• 在发送ajax 请求时 添加上 cookie中 csrf的值

$.ajax({
                url:'',
                type:'post',
                dataType:'json',
                data:{'old_pwd':old_pwd_val, 'new_pwd':new_pwd_val},
                headers:{"X-CSRFToken":csrftoken},
                success:function(dat){              
                },
                error:function (){
                    alert("失败");
                }
        });

服务器从 cookies 中获取 csrf_token 和 form表单中获取 csrf_token, 我们会发现 form 表单每次一刷新值就会变化,但是cookie中csrf_token 在登录时才会变化, 那么 这两种不相等 是如何验证的呢?
我们可以看下 django 中间价 csrf的源码位置在python3.5/site-packages/django/middleware/csrf.py

def _salt_cipher_secret(secret):
    """
    Given a secret (assumed to be a string of CSRF_ALLOWED_CHARS), generate a
    token by adding a salt and using it to encrypt the secret.
    """
    salt = _get_new_csrf_string()
    chars = CSRF_ALLOWED_CHARS
    pairs = zip((chars.index(x) for x in secret), (chars.index(x) for x in salt))
    cipher = ''.join(chars[(x + y) % len(chars)] for x, y in pairs)
    return salt + cipher


def _unsalt_cipher_token(token):
    """
    Given a token (assumed to be a string of CSRF_ALLOWED_CHARS, of length
    CSRF_TOKEN_LENGTH, and that its first half is a salt), use it to decrypt
    the second half to produce the original secret.
    """
    salt = token[:CSRF_SECRET_LENGTH]
    token = token[CSRF_SECRET_LENGTH:]
    chars = CSRF_ALLOWED_CHARS
    pairs = zip((chars.index(x) for x in token), (chars.index(x) for x in salt))
    secret = ''.join(chars[x - y] for x, y in pairs)  # Note negative values are ok
    return secret

_salt_cipher_secret 用来产生 csrf_token, 首先 每个用户登录的时候 会随机生成一个 12 位的 secret,
然后 salt 也是随机生成的, 然后用 salt 和 secret 生成cipher, 最后的 csrf_token = salt + cipher.
值得一说的是 用户登录产生的 secret 虽然是随机的,但是在用户退出和过期之前,这个 secret 是不会变化的. 并且生成 csrf_token = salt + cipher 这个过程是可以还原的,就是我们的 _unsalt_cipher_token 函数.
接收 csrf_token的值, 上一步产生的csrf_token = salt + cipher, 那么根据 csrf_token 和 salt 就可以还原出secret.

结论:

虽然 form每次csrf_token的会刷新 但都是使用那个用户的 secret 生成的. csrf_token的中前半部分是salt ,所以在已知 csrf_token 的值的情况下 可以还原出 唯一的 secret. 因为 无需在意 form 表单中的 csrf_token 的值是如何变化,因为比对的是 secret 而不是 csrf_token 的值.