Django之csrf防護機制

一、csrf攻擊過程

csrf攻擊說明：

1.用戶C打開瀏覽器，訪問受信任網站A，輸入用戶名和密碼請求登陸網站A;

2.在用戶信息經過驗證後，網站A產生Cookie信息並返回給瀏覽器，此時用戶登陸網站A成功，能夠正常發送請求到網站A;

3.用戶未退出網站A以前，在同一瀏覽器中，打開一個TAB頁訪問網站B;

4.網站B接收到用戶請求後，返回一些攻擊性代碼，併發出一個請求要求訪問第三方站點A;

5.瀏覽器在接收到這些攻擊性代碼後，根據網站B的請求，在用戶不知情的狀況下攜帶Cookie信息，向網站A發出請求。網站A並不知道該請求實際上是由B發起的，因此會根據用戶C的Cookie信息以C的權限處理該請求，致使來自網站B的惡意代碼被執行。

注意：

csrf的攻擊之因此會成功是由於服務器端身份驗證機制能夠經過Cookie保證一個請求是來自於某個用戶的瀏覽器，但沒法保證該請求是用戶容許的。所以，預防csrf攻擊簡單可行的方法就是在客戶端網頁上添加隨機數，在服務器端進行隨機數驗證，以確保該請求是用戶容許的。
Django也是經過這個方法來防護csrf攻擊的。

二、在django防護csrf攻擊

2.1 原理

在客戶端頁面上添加csrftoken, 服務器端進行驗證，服務器端驗證的工做經過'django.middleware.csrf.CsrfViewMiddleware'這個中間層來完成。在django當中防護csrf攻擊的方式有兩種,：

1. 在表單當中附加csrftoken
2. 經過request請求中添加X-CSRFToken請求頭。

注意:Django默認對全部的POST請求都進行csrftoken驗證，若驗證失敗則403錯誤侍候。

2.2 在表單中附加csrftoken

後端

from django.shortcuts import render
from django.template.context_processors import csrf

def ajax_demo(request):
     # csrf(request)構造出{‘csrf_token’: token}
    return render(request, 'post_demo.html', csrf(request))

前端

  $('#send').click(function(){
                
    $.ajax({
        type: 'POST',
        url:'{% url 'ajax:post_data' %}',
        data: {
                username: $('#username').val(),
                content: $('#content').val(),
               'csrfmiddlewaretoken': '{{ csrf_token }}'  關鍵點
            },
        dataType: 'json',
        success: function(data){

        },
        error: function(){
    
        }
    
    });
  });

 

2.3 經過request請求中添加X-CSRFToken請求頭

後端

該方式須要藉助於Cookie傳遞csrftoken, 設置Cookie的方式有兩種。

ps:經測試即使什麼都不作，也會設置Cookie，不過官方文檔說，不保證每次都有效

1.表單中添加{%csrf_token%}這個模板標籤

<form id="comment_form" action="#"></form>
{% csrf_token %}   就是這個
<p>姓名: <input type="text" name="useranme" id="username"></p>
<p>內容: <textarea name="content" id="content" rows="5" cols="30"></textarea></p>
<p><input type="button", id="send" value="提交"></p> 

2.ensure_csrf_cookie裝飾器。

from django.shortcuts import render
from django.views.decorators.csrf import ensure_csrf_cookie

@ensure_csrf_cookie
def ajax_demo(request):
    return render(request, 'ajax_demo.html')

前端
前端要作的事情，在進行post提交時，獲取Cookie當中的csrftoken並在請求中添加X-CSRFToken請求頭, 該請求頭的數據就是csrftoken。經過$.ajaxSetup方法設置AJAX請求的默認參數選項， 在每次ajax的POST請求時，添加X-CSRFToken請求頭

<script type="text/javascript">
    $(function(){

        function getCookie(name) {
            var cookieValue = null;
            if (document.cookie && document.cookie != '') {
                var cookies = document.cookie.split(';');
                for (var i = 0; i < cookies.length; i++) {
                    var cookie = jQuery.trim(cookies[i]);
                    // Does this cookie string begin with the name we want?
                    if (cookie.substring(0, name.length + 1) == (name + '=')) {
                        cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                        break;
                    }
                }
            }
            return cookieValue;
        }

        <!--獲取csrftoken-->
        var csrftoken = getCookie('csrftoken');
        console.log(csrftoken);

        //Ajax call
        function csrfSafeMethod(method) {
            // these HTTP methods do not require CSRF protection
            return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
        }

        $.ajaxSetup({
            crossDomain: false, // obviates need for sameOrigin test
            //請求前觸發
            beforeSend: function(xhr, settings) {
                if (!csrfSafeMethod(settings.type)) {
                    xhr.setRequestHeader("X-CSRFToken", csrftoken);
                }
            }
        });

        $('#send').click(function(){
            console.log($("#comment_form").serialize());

            $.ajax({
                type: 'POST',
                url:'{% url 'ajax:post_data' %}',
                data: {
                        username: $('#username').val(),
                        content: $('#content').val(),
                       //'csrfmiddlewaretoken': '{{ csrf_token }}'
                    },
                dataType: 'json',
                success: function(data){
                         
                    
                },
                error: function(){

                }

            });
        });


    });
</script>

三、取消csrftoken驗證

經過csrf_exempt, 來取消csrftoken驗證，方式有兩種。
1 .在視圖函數當中添加csrf_exempt裝飾器

from django.views.decorators.csrf import csrf_exempt

@csrf_exempt
def post_data(request):
    pass

2 .在urlconf當中

from django.views.decorators.csrf import csrf_exempt
urlpatterns = [
    url(r'^post/get_data/$', csrf_exempt(post_data), name='post_data'),

]