Django CSRF認證的幾種解決方案

時間 2020-03-01

原文原文鏈接

什麼是CSRF

瀏覽器在發送請求的時候，會自動帶上當前域名對應的cookie內容，發送給服務端，無論這個請求是來源A網站仍是其它網站，只要請求的是A網站的連接，就會帶上A網站的cookie。瀏覽器的同源策略並不能阻止CSRF攻擊，由於瀏覽器不會中止js發送請求到服務端，只是在必要的時候攔截了響應的內容。或者說瀏覽器收到響應以前它不知道該不應拒絕。css

攻擊過程

用戶登錄A網站後，攻擊者本身開發一個B網站，這個網站會經過js請求A網站，好比用戶點擊了某個按鈕，就觸發了js的執行。html

防止攻擊

Double Submit Cookie

攻擊者是利用cookie隨着http請求發送的特性來攻擊。但攻擊者不知道 cookie裏面是什麼。前端

Django中是在表單中加一個隱藏的 csrfmiddlewaretoken，在提交表單的時候，會有 cookie 中的內容作比對，一致則認爲正常，不一致則認爲是攻擊。因爲每一個用戶的 token 不同，B網站上的js代碼沒法猜出token內容，對比必然失敗，因此能夠起到防範做用。jquery

Synchronizer Token

和上面的相似，但不使用 cookie，服務端的數據庫中保存一個 session_csrftoken，表單提交後，將表單中的 token 和 session 中的對比，若是不一致則是攻擊。ajax

這個方法實施起來並不困難，但它更安全一些，由於網站即便有 xss 攻擊，也不會有泄露token的問題。數據庫

Django使用CsrfViewMiddleware中間件進行CSRF校驗，默認開啓防止csrf(跨站點請求僞造)攻擊，在post請求時，沒有攜帶csrf字段，致使校驗失敗，報403錯誤。那麼咱們如何解決這種403錯誤呢？django

解決方法

1. 去掉項目的CSRF驗證

註釋掉此段代碼便可，可是不推薦此方式，將致使咱們的網站徹底沒法防止CSRF攻擊。後端

2. 前端表單中增長csrf信息

<form enctype="multipart/form-data" method="post" action="{% url 'add_data' %}">
    {% csrf_token %}
</form>複製代碼

必定要注意後端使用render而不要使用rendertoresponse進行渲染，這樣前端就會有csrf_token變量，前端cookies中也會出現csrftoken數據，而後在HTML中使用便可。這種方式只限制在form表單中使用，ajax請求不支持。瀏覽器

3. 指定請求去掉CSRF校驗

能夠只針對指定的路由去掉CSRF校驗，這也分爲兩種狀況：安全

FBV：以函數實現路由處理

# 導入,可使這次請求忽略csrf校驗
from django.views.decorators.csrf import csrf_exempt

# 在處理函數加此裝飾器便可
@csrf_exempt
def add_data(request):
    result = {}
    # TODO

    return HttpResponse(result)複製代碼

CBV：以類實現路由處理

from django.views import View
from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator


class IndexView(View):
    @method_decorator(csrf_exempt)
    def dispatch(self, request, *args, **kwargs):
        return super().dispatch(request, *args, **kwargs)

    def get(self, request, *args, **kwargs):
        return render(request, 'home.html')

    def post(self, request, *args, **kwargs):
        data = request.POST.get('data')
        qr_path = gen_qrcode(data)
        return HttpResponse(qr_path)複製代碼

或者用下面的方式，把裝飾器放在類外面

from django.views import View
from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator


@method_decorator(csrf_exempt, name='dispatch')
class IndexView(View):
    def get(self, request, *args, **kwargs):
        return render(request, 'home.html')

    def post(self, request, *args, **kwargs):
        data = request.POST.get('data')
        qr_path = gen_qrcode(data)
        return HttpResponse(qr_path)複製代碼

4. 爲全部請求添加csrf校驗數據（推薦）

以上方式都有限制，適用範圍比較窄，咱們須要一種能夠一勞永逸的方式：讓全部請求都攜帶csrf數據。由於咱們是使用Django模板渲染前端頁面的，因此通常會先定義一個base.html，其餘頁面經過{% extends "base.html" %}來引入使用，那麼在base.html中添加ajax的全局鉤子，在請求時添加csrf數據便可。

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8">
    <title>{% block title %}首頁{% endblock %}</title>
    <link rel="stylesheet" href="{% static 'css/base.css'%}">
    <script src="https://cdn.bootcss.com/jquery/3.4.1/jquery.min.js"></script>
    <script>
        $.ajaxSetup({
            data: {
                csrfmiddlewaretoken: '{{ csrf_token }}'
            }
        })
    </script>
    {% block css %}
    {% endblock %}
</head>
<body>複製代碼

若是你以爲個人文章還能夠，能夠關注個人微信公衆號，查看更多實戰文章：Python爬蟲實戰之路也能夠掃描下面二維碼，添加個人微信公衆號