美文网首页
iOS客户端和Django服务端之间的csrftoken

iOS客户端和Django服务端之间的csrftoken

作者: 字节码 | 来源:发表于2018-03-25 21:28 被阅读0次

博客地址
iOS客户端使用Alamofire做网络请求,后台基于django,在post请求时前端报403错误;

后台报错详情:

Forbidden (CSRF cookie not set.): /account/auth/login/
[25/Mar/2018 19:02:12] "POST /account/auth/login/ HTTP/1.1" 403 2598

这是由于没有在cookie中设置csrftoken导致的,csrf是跨站请求伪造,CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,由于服务端使用了csrf,那么我们需要在cookie中设置即可:

通用Cookie格式,多个Cookie的格式通常为:"key1"=value1; "key1"=value2; "key1"=value3;
这里特别要注意,多个cookie之间用分号+空格分隔开,不是&也不是单纯的空格,然后将拼接好的cookie放到header中。

let config:URLSessionConfiguration = URLSessionConfiguration.default
        config.timeoutIntervalForRequest = NetworkTimeoutInterval
        sessionManager = SessionManager(configuration: config)
        
let urlString = ALPConstans.HttpRequestURL().login
            let parameters = [
                "csrfmiddlewaretoken": AuthenticationManager.shared.csrftoken,
                "username": username,
                "password": password,
                ]
        var headers: HTTPHeaders = [
            "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8" ,
            "Content-Type": "application/x-www-form-urlencoded",
            "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36",
            "Accept-Encoding": "gzip,deflate",
            "Accept-Language": "zh-CN,zh;q=0.9",
            "Referer": "http://10.211.55.3:8000/login/",
            "Upgrade-Insecure-Requests": "1"
        ]
        
        if let csrftoken = AuthenticationManager.shared.csrftoken {
            headers["Cookie"] = "csrftoken=\(csrftoken)"
        }
        
        Alamofire.request(url, method: method, parameters: parameters as? Parameters, encoding: URLEncoding.default, headers: headers).responseString(queue: DispatchQueue.global(), encoding: String.Encoding.utf8, completionHandler: { (response) in
            let data = response.result.value
            if (response.result.isSuccess)
            {
                finishedCallBack(data as AnyObject, nil)
            }
            else
            {
                finishedCallBack(data as AnyObject,response.result.error)
            }
        })

另外,对于首次调用登录接口(只针对post请求),没有csrftoken的问题,我的解决方法是:登录之前先向服务器要一个csrftoken,服务器会先从当前的的连接会话中查找是否有csrf,如果没有就随机生成一个csrftoken给客户端,并将csrftoken存储到当前会话的headers中,以便下次访问时核对csrf是否一致,客户端接收到csrftoken后将其存储起来,以便下次请求使用。

记录问题:

  • 1.CSRF验证失败. 相应中断
    我在调试post请求的相关接口时,确认将carftoken放在Cookie中了,而且也在参数中添加了csrfmiddlewaretoken字段,但是无奈iOS设备上收到的响应总是CSRF验证失败. 相应中断;但是同一个接口我使用chrome就可以正确请求及返回接口;无奈只能使用抓包工具抓取这两次请求的不同,基本上把iOS上请求的参数和chrome参数相同了,但是还是返回csrf验证失败;最终通过Charles抓包找到了原因:错在了参数错误,参数尽然是字符串格式的,而chrome传的是key=value格式,此时脑海中立即响应了是Alamofire.request()的encoding搞错了,此处我错误使用了JSONEncoding.default,将其改为URLEncoding.default后,再次测试可正常请求响应数据。

下面是两次抓包的区别:


image image
  • 2.Charles无法抓包
    这次真的要感谢Charles,不然今天找不到问题,我会很伤心的;但是今天打开charles后,发现可以访问网络但是抓不到包,我猜测与我设置的ss代理(用于翻墙的)有关,尝试关闭网络代理后问题解决;
    打开网络偏好设置-高级-代理,将自动代理配置的勾勾取消


    image

相关文章

  • iOS客户端和Django服务端之间的csrftoken

    博客地址iOS客户端使用Alamofire做网络请求,后台基于django,在post请求时前端报403错误; 后...

  • 如何在 Ubuntu 20.04 上安装启用 SSH

    Secure Shell (SSH) 是用于客户端和服务端之间安全连接的网络协议。服务端和客户端之间的每次交互均被...

  • 【安全篇】在iOS中使用MD5+AES+RSA打造坚固通信传输加

    传输加密本应该是服务端端与服务端之间,或者服务端与客户端之间的产生的关系,本文只讲述了如何在iOS端使用加密的一些...

  • Django框架总结

    一、Django框架前言知识: 1、C/S和B/S的区别: C/S结构软件:客户端/服务端软件,即客户端要自己下载...

  • WinSocket实现进程通信的一个简单实例

    Windows下通过Socket可以使进程之间产生通信。设计上简单地分为服务端和客户端。 服务端代码: 客户端代码...

  • django+vue axios的post请求403 csrf

    Django-REST-framework的所有post请求都需要带上csrftoken。resfull框架自带一...

  • WebSocket协议

    WebSocket让我们可以在客户端和web服务端之间实现实时通信,不需要客户端发起请求,服务端就可以直接向客户端...

  • CSRF

    Django中的实现 内部函数 process_request将请求中的csrftoken存在request的ME...

  • scrapy telnet服务

    telnet服务主要用于客户端与服务端之间的控制, 客户端使用该服务连接服务端, 在客户端也可以对服务端的操控 查...

  • 浅聊 HTTP Cache

    概述 所谓的 HTTP Cache 机制,其实是服务端和客户端之间的一套约定,需要依靠客户端和服务端程序来具体实现...

网友评论

      本文标题:iOS客户端和Django服务端之间的csrftoken

      本文链接:https://www.haomeiwen.com/subject/fhvkcftx.html