django关于csrf防止跨站的ajax请求403处理

最新推荐文章于 2023-01-18 14:12:59 发布
最新推荐文章于 2023-01-18 14:12:59 发布
阅读量3.4k 收藏 2
点赞数
分类专栏: python 文章标签: django ajax csrf jquery 异步
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scopop/article/details/12613563
版权

django配置文件通过中间件开启CSRF(Cross-site request forgery跨站请求伪造) 默认开启

参考官方文档 django官方文档

正常请求

1.需要在views结尾传递context_instance=RequestContext(request)

2.然后在模板的form标签内添加{% csrf_token %}

异步请求

第一种

1.增加装饰器from django.views.decorators.csrf import csrf_exempt

2.在views请求函数添加该装饰器 可以在请求中屏蔽到跨站检测

第二种

修改ajax的请求头信息

1.下载qjeury cookie plugin

2.导入其中的jquery.cookie.js文件

3.保存下面代码到csrftoken.js文件 并在jquery.cookie.js下方导入

function csrfSafeMethod(method) {
    // these HTTP methods do not require CSRF protection
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
function sameOrigin(url) {
    // test that a given url is a same-origin URL
    // url could be relative or scheme relative or absolute
    var host = document.location.host; // host + port
    var protocol = document.location.protocol;
    var sr_origin = '//' + host;
    var origin = protocol + sr_origin;
    // Allow absolute or scheme relative URLs to same origin
    return (url == origin || url.slice(0, origin.length + 1) == origin + '/') ||
        (url == sr_origin || url.slice(0, sr_origin.length + 1) == sr_origin + '/') ||
        // or any other URL that isn't scheme relative or absolute i.e relative.
        !(/^(\/\/|http:|https:).*/.test(url));
}
$.ajaxSetup({
    beforeSend: function(xhr, settings) {
        if (!csrfSafeMethod(settings.type) && sameOrigin(settings.url)) {
            // Send the token to same-origin, relative URLs only.
            // Send the token only if the method warrants CSRF protection
            // Using the CSRFToken value acquired earlier
            var csrftoken = $.cookie('csrftoken');
            xhr.setRequestHeader("X-CSRFToken", csrftoken);
        }
    }
});

4.完成后 测试 请求不会在出现403csrf提示错误

原理:获取csrf值后 通过ajaxSetup修改所有ajax的默认请求的头信息

其他具体请参考原文档


天蝎座的贱人
关注
专栏目录
djangoAjax Post请求CSRF认证问题
qq_37668510的博客
07-05 753
Post请求CSRF认证问题
Cross-site request forgery 跨站请求伪造
weixin_34310127的博客
01-16 257
Cross-site request forgery 跨站请求伪造 简称为CSRF或者XSRF,通过伪装来自受信任用户的请求来利用受信任的网 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作 get请求,在url中带入中很多参数,url显示在浏览器中,url参数的值可以被任意处篡改 比如你期待查询一个结果...
Spring 处理请求
weixin_42683274的博客
06-02 679
Spring 处理请求
请求,NG返回403。(403并不一定是NG问题)
最新发布
江哈哈的博客
01-18 1199
请求,NG返回403,NG返回403不一定是ng的问题。
配置https后403的问题
解牛
11-25 6068
这里写自定义目录标题配置h新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 配置h 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一
Django CSRF跨站请求伪造防护过程解析
09-18
4. **AJAX请求**:对于使用JavaScript的异步请求(如AJAX),需要手动获取并添加CSRF令牌。可以通过读取`csrftoken` Cookie来获取令牌,并将其作为HTTP头部`X-CSRFToken`发送。 5. **局部启用与禁用**:在某些特殊...
Djangoajax发送post请求403错误CSRF验证失败解决方案
12-31
今天学习Django框架,用ajax后台发送post请求,直接报了403错误,说CSRF验证失败;先前用模板的话都是在里面加一个 {% csrf_token %} 就直接搞定了CSRF的问题了;很显然,用ajax发送post请求这样就白搭了; 文末...
Django中如何防范CSRF跨站请求伪造攻击的实现
09-19
同时,还需要注意一些特殊情况,例如在使用Ajax请求时,可能需要手动添加CSRF Token,或者在不支持Cookie的环境中,需要采取其他方式来验证用户的身份。总之,合理的配置和使用这些功能,可以大大增强应用程序的安全...
403 Invalid CORS request 域问题 invalid+cors+request什么意思
BaldHead`s
05-11 4万+
5.域问题 域:浏览器对于javascript的同源策略的限制 。 以下情况都属于域: 域原因说明 示例 域名不同 www.jd.com 与 www.taobao.com 域名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级域名不同 item.jd.com 与 miaosha.jd.com 如果域名和端口都相同,但是请求路径不同,不属于域,如: www.jd.com/item www.jd.com/goods http和https
403问题
MengHen_0_0的博客
10-31 1920
前后端分离的域问题(403) 前后端分离制作web开发经常会碰见报错403问题,以下是解决方案 在后端的解决方案 在后端代码中添加config文件解决 将下面代码复制到springboot的config包中解决 import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.
导致403错误的原因和解决方法
热门推荐
u010227042的博客
11-22 16万+
一、导致403错误的主要原因   403 Forbidden错误的原因和解决方法   1、你的IP被列入黑名单。   2、你在一定时间内过多地访问此网(一般是用采集程序),被防火墙拒绝访问了。   3、网域名解析到了空间,但空间未绑定此域名。   4、你的网页脚本文件在当前目录下没有执行权限。   5、在不允许写/创建文件的目录中执行了创建/写文件操作。   6、以http方式访问需要ssl连接的网址。   7、浏览器不支持SSL 128时访问SSL 128的连接。   8、在身份验证
ajax post json 403,请求403详解
weixin_33215027的博客
08-05 2622
0、环境说明1、下文中域实现为服务器域名 http://yaogy.jd.com 向本地项目 leo.com 发起请求,本地进行debug。2、本地项目 Spring 版本为 4.3.0。域的实现方式有很多种,注解、过滤器、拦截器都能很好的实现域的功能,但在实际应用中却发现在同一个域实现、同一个 controller 类下,有的请求成功,有的请求返回 403,如图1 所示。im...
常见安全漏洞及整改建议
sjh_c513的专栏
12-09 4471
1. HTML表单没有CSRF保护 1.1 问题描述: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买
vue前端请求出现403错误解决方案
qq_23027247的博客
07-24 2万+
附上详细的讲解链接https://www.jianshu.com/p/a65c7abcb59e
django 解决ajax 请求csrf域问题,解决403 forbidden
the_conquer_zzy的专栏
11-06 941
现象: 请求403 ,提示域 原因: 项目setting.py 中installed app 里面有 'django.middleware.csrf.CsrfViewMiddleware', ###解决过程:查看请求发现 cookie 有csrftoken 所以利用js 获取csrftoken 核心语句 document.cookie()会返回所有的cookie cookie 的结构如下...
Django框架AJAX使用及绕过CSRF验证实战解析
Django默认对所有POST请求启用CSRF跨站请求伪造)保护,防止恶意第三方模拟用户提交数据。但某些Ajax请求可能不需要CSRF保护,例如仅获取数据而不修改数据的GET请求。对于这类情况,可以在视图函数上添加`@csrf_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值