關於Django Ajax CSRF 認證

CSRF（Cross-site request forgery跨站請求僞造，也被稱爲「one click attack」或者session riding，一般縮寫爲CSRF或者XSRF，是一種對網站的惡意利用。儘管聽起來像跨站腳本（XSS），但它與XSS很是不一樣，而且攻擊方式幾乎相左。XSS利用站點內的信任用戶，而CSRF則經過假裝來自受信任用戶的請求來利用受信任的網站。與XSS攻擊相比，CSRF攻擊每每不大流行（所以對其進行防範的資源也至關稀少）和難以防範，因此被認爲比XSS更具危險性。

Django 中自帶了 防止CSRF攻擊的功能，可是一些新手不知道如何使用，給本身編程帶來了麻煩。經常會出現下面django csrf token missing or incorrect的錯誤。

GET 請求不須要 CSRF 認證，POST 請求須要正確認證才能獲得正確的返回結果。通常在POST表單中加入 {% csrf_token %}

1 2 3 4 5

< form  method = "POST"  action = "/post-url/" >      {% csrf_token %}            < input  name = 'zqxt'  value = "自強學堂學習Django技術" > </ form >

 

若是使用Ajax調用的時候，就要麻煩一些。須要注意如下幾點：

1. 在視圖中使用 render （而不要使用 render_to_response）

2. 使用 jQuery 的 ajax 或者 post 以前 加入這個 js 代碼：http://www.ziqiangxuetang.com/media/django/csrf.js

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36

jQuery(document).ajaxSend( function (event, xhr, settings) {      function  getCookie(name) {          var  cookieValue =  null ;          if  (document.cookie && document.cookie !=  '' ) {              var  cookies = document.cookie.split( ';' );              for  ( var  i = 0; i < cookies.length; i++) {                  var  cookie = jQuery.trim(cookies[i]);                  // Does this cookie string begin with the name we want?                  if  (cookie.substring(0, name.length + 1) == (name +  '=' )) {                      cookieValue = decodeURIComponent(cookie.substring(name.length + 1));                      break ;                  }              }          }          return  cookieValue;      }      function  sameOrigin(url) {          // url could be relative or scheme relative or absolute          var  host = document.location.host;  // host + port          var  protocol = document.location.protocol;          var  sr_origin =  '//'  + host;          var  origin = protocol + sr_origin;          // Allow absolute or scheme relative URLs to same origin          return  (url == origin || url.slice(0, origin.length + 1) == origin +  '/' ) ||              (url == sr_origin || url.slice(0, sr_origin.length + 1) == sr_origin +  '/' ) ||              // or any other URL that isn't scheme relative or absolute i.e relative.              !(/^(\/\/|http:|https:).*/.test(url));      }      function  safeMethod(method) {          return  (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));      }        if  (!safeMethod(settings.type) && sameOrigin(settings.url)) {          xhr.setRequestHeader( "X-CSRFToken" , getCookie('csrftoken'));      } });

或者 更爲優雅簡潔的代碼（不能寫在 .js 中，要直接寫在模板文件中）：

1 2 3

$.ajaxSetup({      data: {csrfmiddlewaretoken:  '{{ csrf_token }}'  }, });

這樣以後，就能夠像原來同樣的使用 jQuery.ajax() 和 jQuery.post()了

最後，附上一個 Django Ajax CSRF 實例