【发布时间】:2018-08-22 19:47:40
【问题描述】:
TLDR;如果客户端具有经过身份验证的会话,我的 POST(到 DRF 端点)似乎仅受 CSRF 保护。这是错误的,并将应用程序选项留给login CSRF 攻击。我该如何解决这个问题?
我开始为 ReactJS 前端构建一个 django rest 框架 API,我们希望通过 API 处理所有事情,包括身份验证。我们正在使用 SessionAuthentication。
如果我有一个经过身份验证的会话,那么 CSRF 将完全按预期工作(当经过身份验证时,客户端应该设置一个 CSRF cookie,并且这需要与 POST 数据中的 csrfmiddlewaretoken 配对)。
但是,当 未 进行身份验证时,似乎没有 POST 需要接受 CSRF 检查。包括已创建的(基本)登录 APIView。这使得该网站容易受到login CSRF 漏洞的攻击。
是否有人知道如何在未经身份验证的会话上强制执行 CSRF 检查? 和/或 DRF 似乎如何绕过 CSRF 检查以进行登录?
以下是我的粗略设置...
settings.py:
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': [
'rest_framework.authentication.SessionAuthentication',
],
'DEFAULT_PERMISSION_CLASSES': [
'rest_framework.permissions.IsAuthenticated',
],
}
views.py:
class Login(APIView):
permission_classes = (permissions.AllowAny,)
@method_decorator(csrf_protect) # shouldn't be needed
def post(self, request, format=None):
user = authenticate(
request,
username=request.POST['username'],
password=request.POST['password']
)
# ... perform login logic ...
def get(self, request, format=None):
"""
Client must GET the login to obtain CSRF token
"""
# Force generation of CSRF token so that it's set in the client
get_token(request)
return Response(None)
urls.py:
urlpatterns = [
url(r'^login/$', views.Login.as_view(), name='login'),
]
预期行为:
login_url = reverse('login')
login_details = {
'username': self.user.email,
'password': self.password,
}
client = APIClient(enforce_csrf_checks=True)
# Try to just POST to a CSRF protected view with no CSRF
response = client.post(reverse('login'), login_details)
# response status should be 403 Missing or incorrect CSRF
# GET the login API first to obtain CSRF
client.get(reverse('login'))
login_details['csrfmiddlewaretoken'] = client.cookies.get('csrftoken').value
# Now POST to the login API with the CSRF cookie and CSRF token in the POST data
response = client.post(reverse('login'), login_details)
# response status should now be 200 (and a newly rotated CSRF token delivered)
实际行为:
client = APIClient(enforce_csrf_checks=True)
# Try to just to a CSRF protected view with no CSRF
response = client.post(reverse('login'), login_details)
# BROKEN: response status is 200, client is now logged in
# Post to the exact same view again, still with no CSRF
response = client.post(reverse('login'), login_details)
# response status is now 403
# BROKEN: This prooves that this view is protected against CSRF, but ONLY for authenticated sessions.
【问题讨论】:
-
好问题!试图解决这个问题...... CSRF 保护是否适用于对外开放的 API?在您的示例中,攻击者可以通过 GET 访问登录 API 以获取 CSRF 令牌。然后他可以使用该 CSRF 令牌进行 POST,因此没有真正的保护。您可以 CSRF 保护登录视图,而不是在 GET 上给出令牌。这是安全的,但是您不能再从“外部”登录。我想如果可以通过对外开放的 API 登录,那么任何人都可以登录。也许对于外部访问,请改用令牌身份验证?我错过了什么吗?
标签: django django-rest-framework csrf csrf-protection django-csrf