Django之CSRF
1、什麼是CSRFjavascript
CSRF, Cross Site Request Forgery, 跨站僞造請求。舉例來說,某個惡意的網站上有一個指向你的網站的連接,若是某個用戶已經登陸到你的網站上了,那麼當這個用戶點擊這個惡意網站上的那個連接時,就會向你的網站發來一個請求,你的網站會覺得這個請求是用戶本身發來的,其實呢,這個請求是那個惡意網站僞造的。前端
Django爲用戶實現跨站請求僞造保護的功能,經過中間件 django.middleware.csrf.CsrfViewMiddleware 來完成。而對於django中設置防跨站請求僞造功能有分爲全局設置和局部設置。java
2、Django提供CSRF防禦機制python
Django第一次響應某個客戶端的請求時,會在服務器端隨機生成一個token,而後把這個token放到cookie中返回給客戶端。而後客戶端每次POST請求時都會帶上這個token,這樣就避免了CSRF***。
jquery
在返回的HTTP響應的cookie中,Django會添加一個csrftoken字段,值爲隨機生成的tokenajax
在POST表單中,必須包含一個csrfmiddlewaretoken隱藏字段,須要在模板中添加{% csrf_token %}自動生成django
在處理POST請求以前,Django會驗證cookie中csrftoken和表單中csrfmiddlewaretoken的值是否一致。若是一致,則代表這是一個合法請求。不然這個請求就是僞造的,返回403 Forbidden。服務器
在Ajax POST請求中,添加一個"X-CSRFToken"頭部,值爲cookie中的csrftoken的值。cookie
3、CSRF設置ide
1. 全局設置(中間件)
django.middleware.csrf.CsrfViewMiddleware
2. 局部設置(視圖函數)
from django.views.decorators.csrf import csrf_exempt,csrf_protect @csrf_protect # 爲當前函數強制設置防跨站請求僞造功能,即使settings中沒有設置CSRF中間件。 def func(): pass @csrf_exempt # 取消當前函數防跨站請求僞造功能,即使settings中設置了CSRF中間件。 def func(): pass
4、應用CSRF
1. 前端Form表單中設置CSRF
<form method="post">
{% csrf_token %}
...
</form>
2. 自動在每一個Ajax請求頭部中添加"X-CSRFToken"
// 導入jquery.cookie.js 經過$.cookie('csrftoken')獲取csrf_token
// beforeSend在每一個Ajax請求以前自動設置請求頭部"X-CSRFToken"
<script src="/static/plugin/jquery/jquery-1.8.0.js"></script>
<script src="/static/plugin/jquery/jquery.cookie.js"></script>
<script type="text/javascript">
var csrftoken = $.cookie('csrftoken');
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});
</script>
3. 單獨在Ajax請求中設置"X-CSRFToken"頭部
<script src="/static/plugin/jquery/jquery-1.8.0.js"></script>
<script src="/static/plugin/jquery/jquery.cookie.js"></script>
<script type="text/javascript">
$.ajax({
headers:{"X-CSRFToken":$.cookie('csrftoken')},
...
})
</script>
- 1. Django之CSRF
- 2. Django進階之CSRF
- 3. django之csrf攻擊
- 4. Django-CSRF
- 5. Django CSRF
- 6. python框架之Django(9)-CSRF
- 7. Django之Cookie、Session、CSRF、Admin
- 8. django之防止csrf跨站***
- 9. Django之csrf防護機制
- 10. Django學習---CSRF
- 更多相關文章...
- • PHP localeconv() 函數 - PHP參考手冊
- • XSL-FO azimuth 屬性 - XSL-FO 教程
- • 互聯網組織的未來:剖析GitHub員工的任性之源
- • ☆基於Java Instrument的Agent實現
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. CVPR 2020 論文大盤點-光流篇
- 2. Photoshop教程_ps中怎麼載入圖案?PS圖案如何導入?
- 3. org.pentaho.di.core.exception.KettleDatabaseException:Error occurred while trying to connect to the
- 4. SonarQube Scanner execution execution Error --- Failed to upload report - 500: An error has occurred
- 5. idea 導入源碼包
- 6. python學習 day2——基礎學習
- 7. 3D將是頁遊市場新賽道?
- 8. osg--交互
- 9. OSG-交互
- 10. Idea、spring boot 圖片(pgn顯示、jpg不顯示)解決方案