Django 默认csrf 防护原理剖析
防护形式
$.ajax({
url:'',
type:'post',
dataType:'json',
data:{'old_pwd':old_pwd_val, 'new_pwd':new_pwd_val},
headers:{"X-CSRFToken":csrftoken},
success:function(dat){
},
error:function (){
alert("失败");
}
});
服务器从 cookies 中获取 csrf_token 和 form表单中获取 csrf_token, 我们会发现 form 表单每次一刷新值就会变化,但是cookie中csrf_token 在登录时才会变化, 那么 这两种不相等 是如何验证的呢?
我们可以看下 django 中间价 csrf的源码位置在python3.5/site-packages/django/middleware/csrf.py
def _salt_cipher_secret(secret):
"""
Given a secret (assumed to be a string of CSRF_ALLOWED_CHARS), generate a
token by adding a salt and using it to encrypt the secret.
"""
salt = _get_new_csrf_string()
chars = CSRF_ALLOWED_CHARS
pairs = zip((chars.index(x) for x in secret), (chars.index(x) for x in salt))
cipher = ''.join(chars[(x + y) % len(chars)] for x, y in pairs)
return salt + cipher
def _unsalt_cipher_token(token):
"""
Given a token (assumed to be a string of CSRF_ALLOWED_CHARS, of length
CSRF_TOKEN_LENGTH, and that its first half is a salt), use it to decrypt
the second half to produce the original secret.
"""
salt = token[:CSRF_SECRET_LENGTH]
token = token[CSRF_SECRET_LENGTH:]
chars = CSRF_ALLOWED_CHARS
pairs = zip((chars.index(x) for x in token), (chars.index(x) for x in salt))
secret = ''.join(chars[x - y] for x, y in pairs)
return secret
_salt_cipher_secret 用来产生 csrf_token, 首先 每个用户登录的时候 会随机生成一个 12 位的 secret,
然后 salt 也是随机生成的, 然后用 salt 和 secret 生成cipher, 最后的 csrf_token = salt + cipher.
值得一说的是 用户登录产生的 secret 虽然是随机的,但是在用户退出和过期之前,这个 secret 是不会变化的. 并且生成 csrf_token = salt + cipher 这个过程是可以还原的,就是我们的 _unsalt_cipher_token 函数.
接收 csrf_token的值, 上一步产生的csrf_token = salt + cipher, 那么根据 csrf_token 和 salt 就可以还原出secret.
结论:
虽然 form每次csrf_token的会刷新 但都是使用那个用户的 secret 生成的. csrf_token的中前半部分是salt ,所以在已知 csrf_token 的值的情况下 可以还原出 唯一的 secret. 因为 无需在意 form 表单中的 csrf_token 的值是如何变化,因为比对的是 secret 而不是 csrf_token 的值.
|