跨站請求僞造 | ajax
1、簡介css
django爲用戶實現防止跨站請求僞造的功能,經過中間件 django.middleware.csrf.CsrfViewMiddleware 來完成。而對於django中設置防跨站請求僞造功能有分爲全局和局部。html
全局:前端
中間件 django.middleware.csrf.CsrfViewMiddlewarepython
局部:jquery
- @csrf_protect,爲當前函數強制設置防跨站請求僞造功能,即使settings中沒有設置全局中間件。
- @csrf_exempt,取消當前函數防跨站請求僞造功能,即使settings中設置了全局中間件。
注:from django.views.decorators.csrf import csrf_exempt,csrf_protectajax
2、應用django
一、普通表單json
veiw中設置返回值: return render_to_response('Account/Login.html',data,context_instance=RequestContext(request)) 或者 return render(request, 'xxx.html', data) html中設置Token: {% csrf_token %}
若是把type:"GET" 改成type:"POST" 會報一個Forbidden的錯後端
解決辦法有三種:數組
方式一:
$.ajaxSetup({
data:{csrfmiddlewaretoken:'{{ csrf_token }}'}
});
注意:要放在ajax請求的前面,在發送以前組裝一組字符串,在第一步render的時候就發了
因此有侷限性:
若是把JS代碼放到靜態文件中,不會渲染,不會執行{{csrf_token}},只能在HTML頁面中使用
方式二:本身組裝一組鍵值對 ( 推薦)
<form> {% csrf_token %} </form> data:{ csrfmiddlewaretoken:$("[name='csrfmiddlewaretoken']").val(), name:$(":text").val(), pwd:$(":password").val() },
方式三:本身設置頭信息
<script src="https://cdn.bootcss.com/jquery-cookie/1.4.1/jquery.cookie.js"></script> $.ajax({ url:"/serialize/", type:"POST", headers:{"X-CSRFToken":$.cookie('csrftoken')}, })
二、Ajax
對於傳統的form,能夠經過表單的方式將token再次發送到服務端,而對於ajax的話,使用以下方式。
1 <!DOCTYPE html> 2 <html lang="en"> 3 <head> 4 <meta charset="UTF-8"> 5 <meta http-equiv="X-UA-Compatible" content="IE=edge"> 6 <meta name="viewport" content="width=device-width, initial-scale=1"> 7 <title>Title</title> 8 </head> 9 <body> 10 11 <a href="/get_OK/">點擊</a><span class="error"></span> 12 <hr> 13 <p>姓名<input type="text"></p> 14 <p>密碼<input type="password"></p> 15 <p><button class="Ajax_send">Ajax_send</button><span class="login_error"></span></p> 16 17 18 19 20 <script src="https://cdn.bootcss.com/jquery/3.2.1/jquery.js "></script> 21 <script> 22 $(".Ajax_send").click(function () { 23 // ajax請求 24 $.ajax({ 25 url:"/tishi_ajax/", //請求路徑 26 type:"GET", //請求方式 27 //吧js對象轉成json字符串 28 data:JSON.stringify({ 29 name:$(":text").val(), 30 pwd:$(":password").val() 31 }), // 請求數據 ,是js數據 ?name=yuan&pwd=123 32 contentType:"application/json", //告訴服務器發的是json的格式 33 success:function (data) { 34 var data=JSON.parse(data); //js中的反序列化 35 console.log(data); 36 console.log(typeof data); 37 // $(".error").html(data) 38 39 if(!data["flag"]){ //爲False的狀況 40 $(".login_error").html("用戶名或者密碼錯誤") 41 } 42 } 43 }) 44 }) 45 </script> 46 </body> 47 </html>
{% load staticfiles %} <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <script src="{% static 'JS/jquery-3.1.1.js' %}"></script> </head> <body> <button class="send_Ajax">send_Ajax</button> <script> //$.ajax的兩種使用方式: //$.ajax(settings); //$.ajax(url,[settings]); $(".send_Ajax").click(function(){ $.ajax({ url:"/handle_Ajax/", type:"POST", data:{username:"Yuan",password:123}, //==================成功的時候要執行的代碼================== success:function(data){ alert(data) }, //=================== error的時候要執行的代碼============ error: function (jqXHR, textStatus, err) { // jqXHR: jQuery加強的xhr // textStatus: 請求完成狀態 // err: 底層經過throw拋出的異常對象,值與錯誤類型有關 console.log(arguments); }, //=================== complete(不管成功仍是失敗,都要執行的代碼)============ complete: function (jqXHR, textStatus) { // jqXHR: jQuery加強的xhr // textStatus: 請求完成狀態 success | error console.log('statusCode: %d, statusText: %s', jqXHR.status, jqXHR.statusText); console.log('textStatus: %s', textStatus); }, //=================== statusCode============ statusCode: { '403': function (jqXHR, textStatus, err) { console.log(arguments); //注意:後端模擬errror方式:HttpResponse.status_code=500 }, '400': function () { } } }) }) </script> </body> </html>
1 def tishi_ajax(request): 2 3 username=request.GET.get("name") 4 password=request.GET.get("pwd") 5 6 response={"flag":False} 7 if username=="yuan" and password=="123": 8 response["flag"]=True 9 import json 10 import time 11 12 return HttpResponse(json.dumps(response)) 13 14 15 def tishi(request): 16 return render(request,"tishi.html")
ajax參數
######################------------data---------################
data: 當前ajax請求要攜帶的數據,是一個json的object對象,ajax方法就會默認地把它編碼成某種格式
(urlencoded:?a=1&b=2)發送給服務端;此外,ajax默認以get方式發送請求。
function testData() {
$.ajax("/test",{ //此時的data是一個json形式的對象
data:{
a:1,
b:2
}
}); //?a=1&b=2
######################------------processData---------################
processData:聲明當前的data數據是否進行轉碼或預處理,默認爲true,即預處理;if爲false,
那麼對data:{a:1,b:2}會調用json對象的toString()方法,即{a:1,b:2}.toString()
,最後獲得一個[object,Object]形式的結果。
######################------------contentType---------################
contentType:默認值: "application/x-www-form-urlencoded"。發送信息至服務器時內容編碼類型。
用來指明當前請求的數據編碼格式;urlencoded:?a=1&b=2;若是想以其餘方式提交數據,
好比contentType:"application/json",即向服務器發送一個json字符串:
$.ajax("/ajax_get",{
data:JSON.stringify({
a:22,
b:33
}),
contentType:"application/json",
type:"POST",
}); //{a: 22, b: 33}
注意:contentType:"application/json"一旦設定,data必須是json字符串,不能是json對象
from django.core.handlers.wsgi import WSGIRequest
######################------------traditional---------################ traditional:通常是咱們的data數據有數組時會用到 :data:{a:22,b:33,c:["x","y"]}, traditional爲false會對數據進行深層次迭代;
/*
dataType: 預期服務器返回的數據類型,服務器端返回的數據會根據這個值解析後,傳遞給回調函數。
默認不須要顯性指定這個屬性,ajax會根據服務器返回的content Type來進行轉換;
好比咱們的服務器響應的content Type爲json格式,這時ajax方法就會對響應的內容
進行一個json格式的轉換,if轉換成功,咱們在success的回調函數裏就會獲得一個json格式
的對象;轉換失敗就會觸發error這個回調函數。若是咱們明確地指定目標類型,就可使用
data Type。
dataType的可用值:html|xml|json|text|script
見下dataType實例
*/
from django.shortcuts import render,HttpResponse
from django.views.decorators.csrf import csrf_exempt
# Create your views here.
import json
def login(request):
return render(request,'Ajax.html')
def ajax_get(request):
l=['alex','little alex']
dic={"name":"alex","pwd":123}
#return HttpResponse(l) #元素直接轉成字符串alexlittle alex
#return HttpResponse(dic) #字典的鍵直接轉成字符串namepwd
return HttpResponse(json.dumps(l))
return HttpResponse(json.dumps(dic))# 傳到前端的是json字符串,要想使用,須要JSON.parse(data)
//---------------------------------------------------
function testData() {
$.ajax('ajax_get', {
success: function (data) {
console.log(data);
console.log(typeof(data));
//console.log(data.name);
//JSON.parse(data);
//console.log(data.name);
},
//dataType:"json",
}
)}
註解:Response Headers的content Type爲text/html,因此返回的是String;但若是咱們想要一個json對象
設定dataType:"json"便可,至關於告訴ajax方法把服務器返回的數據轉成json對象發送到前端.結果爲object
固然,
return HttpResponse(json.dumps(a),content_type="application/json")
這樣就不須要設定dataType:"json"了。
content_type="application/json"和content_type="json"是同樣的!
相關文章
- 1. 跨站請求僞造(csrf)
- 2. CSRF跨站請求僞造
- 3. csrf(跨站請求僞造)
- 4. Csrf跨站請求僞造
- 5. 跨站請求僞造
- 6. 跨站請求僞造(CSRF)
- 7. 跨站請求僞造和cookie僞造
- 8. 15跨站請求僞造
- 9. csrf跨站請求僞造
- 10. CSRF 跨站請求僞造
- 更多相關文章...
- • HTTP 請求方法 - HTTP 教程
- • 僞造ICMP請求包進行路由跟蹤 - TCP/IP教程
- • PHP Ajax 跨域問題最佳解決方案
- • 使用阿里雲OSS+CDN部署前端頁面與加速靜態資源
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 跨站請求僞造(csrf)
- 2. CSRF跨站請求僞造
- 3. csrf(跨站請求僞造)
- 4. Csrf跨站請求僞造
- 5. 跨站請求僞造
- 6. 跨站請求僞造(CSRF)
- 7. 跨站請求僞造和cookie僞造
- 8. 15跨站請求僞造
- 9. csrf跨站請求僞造
- 10. CSRF 跨站請求僞造