Django中使用Ajax及避开CSRF 验证的方式详解_django ajax csrf豁免

于 2024-09-21 19:27:11 发布
阅读量354 收藏 5
点赞数 9
文章标签: django ajax csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_87299658/article/details/142422376
版权

ajax(Asynchronous Javascript And Xml)异步javascript和XML。本文实例讲述了django框架中ajax的使用及避开CSRF 验证的方式。
ajax的优点

  • 使用javascript技术向服务器发送异步请求
  • ajax无须刷新整个页面;
  • 由于ajax响应的是局部页面,因此性能要高

向服务器发送GET请求

views.py

from django.http import HttpResponse
from django.shortcuts import render


def get\_html(request):
    return render(request, 'ajax/test\_ajax.html')


def test\_ajax\_get(request):
    name = request.GET.get("name", '')
    print(name)
    if name:
        res = {"code": "200", "msg": "√"}
    else:
        res = {"code": "000", "msg": "请输入用户名"}
    import json
    return HttpResponse(json.dumps(res))  # 向ajax发送json数据

html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<hr>
<h1>登录</h1>
<p>用户名:<input type="text" id="user"> <span class="error"></span></p>
<script src="/static/js/jquery-3.2.1.min.js">
</script>
<script>
 $("#user").blur(function () { //鼠标失去焦点事件
 $.ajax({
 url: "/ajax\_test/get\_/",
 type: "get",
 data: {"name": $("#user").val()},
 success: function (data) {
 console.log(data);
 console.log(typeof data);
 var data = JSON.parse(data); //接收传来的信息,进行反序列化,这里JSON要输入大写否则出不来
 console.log(data);
 console.log(typeof data);
 if (data.code == "200") {
 $(".error").html(data.msg).css("color", "green") //这里的css样式是以,隔开的
 }
 else{
 $(".error").html(data.msg).css("color", "red") //这里的css样式是以,隔开的
 }
 }
 })
 });
</script>
</body>
</html>

向服务器发送POST请求

以post的方式提交,存在crsf的问题,解决跨域伪造csrf的方法有三种

CSRF 简介
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。攻击者通过 HTTP 请求江数据传送到服务器,从而盗取回话的 cookie。盗取回话 cookie 之后,攻击者不仅可以获取用户的信息,还可以修改该 cookie 关联的账户信息。
所以解决 CSRF 攻击的最直接的办法就是生成一个随机的 csrftoken 值,保存在用户的页面上,每次请求都带着这个值过来完成校验。

通过 csrf_token 认证

方式 1 通过 input 标签获取

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<hr>
<h1>登录</h1>
<input type="text" name="csrfmiddlewaretoken" value="{{ csrf\_token }}" hidden>
<p>用户名:<input type="text" id="user"> <span class="error"></span></p>

<script src="/static/js/jquery-3.2.1.min.js">
</script>
<script>
 // var csrf\_token = $('[name="csrfmiddlewaretoken"]').val();
 //下面改成post请求如何避免crsf错误呢
 $("#user").blur(function () {
 $.ajax({
 url: "/ajax\_test/post\_/",
 type: "post",
 data: {
 "name": $("#user").val(),
 "csrfmiddlewaretoken": $('[name="csrfmiddlewaretoken"]').val(),
 // "csrfmiddlewaretoken": "{{csrf\_token}}" // 直接也可以
 },

 success: function (data) {
 console.log(data);
 console.log(typeof data);
 var data = JSON.parse(data);
 console.log(data);
 console.log(typeof data);
 if (data.code == "200") {
 $(".error").html(data.msg).css("color", "green") //这里的css样式是以,隔开的
 }
 else {
 $(".error").html(data.msg).css("color", "red") //这里的css样式是以,隔开的
 }
 }
 })
 });
</script>
</body>
</html>

方式 2 通过 Cookie 获取

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<hr>
<h1>登录</h1>
<input type="text" name="csrfmiddlewaretoken" value="{{ csrf\_token }}" hidden>
<p>用户名:<input type="text" id="user"> <span class="error"></span></p>

<script src="/static/js/jquery-3.2.1.min.js">
</script>
<script> 
 //下面改成post请求如何避免crsf错误呢
 $("#user").blur(function () {
 $.ajax({
 url: "/ajax\_test/post\_/",
 type: "post",
 data: {
 "name": $("#user").val(),
 headers: {"X-CSRFToken": $.cookie('csrftoken')}, //方式三
 },
 success: function (data) {
 console.log(data);
 console.log(typeof data);
 var data = JSON.parse(data);
 console.log(data);
 console.log(typeof data);
 if (data.code == "200") {
 $(".error").html(data.msg).css("color", "green") //这里的css样式是以,隔开的
 }
 else {
 $(".error").html(data.msg).css("color", "red") //这里的css样式是以,隔开的
 }
 }
 })
 });

</script>
</body>
</html>

视图层或者urls添加装饰器

2401_87299658
关注
djangoAjax Post请求CSRF认证问题
qq_37668510的博客
07-05 758
Post请求CSRF认证问题
Django使用Ajax避开CSRF 验证方式详解_django ajax csrf豁免(1)
最新发布
2401_84263262的博客
04-17 283
CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。盗取回话 cookie 之后,攻击者不仅可以获取用户的信息,还可以修改该 cookie 关联的账户信息。所以解决 CSRF 攻击的最直接的办法就是生成一个随机的 csrftoken 值,保存在用户的页面上,每次请求都带着这个值过来完成校验。res = {“code”: “000”, “msg”: “请输入用户名”}
Django使用Ajax避开CSRF 验证方式详解
qq_36581961的博客
02-07 431
文章目录向服务器发送GET请求向服务器发送POST请求通过 csrf_token 认证视图层或者urls添加装饰器 ajax(Asynchronous Javascript And Xml)异步javascript和XML。本文实例讲述了django框架ajax使用避开CSRF 验证方式ajax的优点 使用javascript技术向服务器发送异步请求 ajax无须刷新整个页面; 由于ajax响应的是局部页面,因此性能要高 向服务器发送GET请求 views.py from django.ht
django 类取消csrf_最新Django全套教程 半个月搞定Django
weixin_39872191的博客
11-29 91
Python下有许多款不同的Web框架,Django是重量级选手最有代表性的一位。它由Python写成,采用MVC的软件设计模式,许多成功的网站和APP都基于Django。无论你是Python开发人员还是Web前端工程师,都要掌握Django框架。接下来小编分享的教程将一步步带你熟悉Django框架,每天进步一点点,半个月就能搞定Django。教程名称最新Django全套教程适宜人群:有Pyth...
彻底关闭djangocsrf认证
m0_52513940的博客
01-01 641
将该文件插入settings.py。
Django取消CSRF限制
Tomonkey的专栏
06-04 2036
在前后端分离的时候,前端请求时接口请求头没有CSRF token,然后就报错了 Reason given for failure: CSRF token missing or incorrect. In general, this can occur when there is a genuine Cross Site Request Forgery, or when Django's CSRF mechanism has not been used correctly. For
django框架ajax使用避开CSRF 验证方式详解
09-18
Django框架使用Ajax可以实现前端与后端的异步交互,提高...在不需要验证的情况下,可以通过设置URL、发送CSRF token或禁用全局检查等方式避开验证。在实际开发,应根据具体需求和安全性考虑选择合适的方法。
Djangoajax发送post请求 报403错误CSRF验证失败解决方案
12-31
今天学习Django框架,用ajax向后台发送post请求,直接报了403错误,说CSRF验证失败;先前用模板的话都是在里面加一个 {% csrf_token %} 就直接搞定了CSRF的问题了;很显然,用ajax发送post请求这样就白搭了; 文末...
访问网址 token的格式_Django使用Pyjwt、restframework、restframeworkjwt 生成token
weixin_39639049的博客
11-20 264
Token在移动端开发或者前后端分离开发时,我们会经常用到token(令牌)来验证并保留登录状态,通过向登录接口以post请求方式来发送登录表单获取token,将token保存到本地,并在请求需要身份认证的 url 时,将token放到请求头就可以直接访问,不用再登录。token生成的方法有很多种,我们这里不关注具体的生成算法,只是关注功能性实现。注意事项需要有一定的django基础,...
Djangoajax发送post请求时csrf拦截的解决方案
03-31 181
把下面的代码写在模版文件就可以了, 注:不是js文件,是模版文件加载的执行的,所有写js里没效果 $.ajaxSetup({   data: {csrfmiddlewaretoken: '{{ csrf_token }}' },}); 转载于:https://www.cnblogs.com/413xiaol/p/6653466.html...
Day62:Django 启用和禁用CSRF功能
ivenqin的博客
04-28 443
1.Django CSRF的原理 CSRF(Cross Site Request Forgery)也就是跨站请求伪造,实现的原理是CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的; 2.CSRF认证 在项目的settings文件有一个配置项MIDDLEWARE,表示默认Django启...
django避免csrf_token验证
ZCR73的博客
05-18 621
将所有的csrf_token验证都关闭是不安全的,因此考虑views.py文件对单个函数关闭csrf_token验证。首先import关闭csrf_token验证的函数。
Django AJAX csrf
anzhang5248的博客
08-08 108
1、原始 a、在HTML添加 {% csrf_token %} b、在data添加csrf_token对应input的 键值对 "csrfmiddlewaretoken" : $("[name='csrfmiddlewaretoken']").val() 2、保存到一个JS文件,并像JQuery一样引用即可 function getCookie(nam...
Django解除单个方法的csrf验证
王帅的博客
03-09 1535
今天在处理公司官网时,请求后台的单独某个方法不想使用csrf验证进行数据的访问 方法如下: 在url.py文件修改设置路由 修改前: from django.urls import path from . import views urlpatterns = [ path('publisher-warranty/', views.publisher_warranty, ...
django如何阻止CSRF使用
Colinspace
11-23 1067
CSRF 是指跨站请求伪造,跨站请求伪造的问题在于,服务器信任来自客户端的数据如果没有 CSRF 面临的风险是:跨站请求伪造是指攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息。
django-关于取消csrf验证的问题
hao_sir
03-21 866
使用装饰器 @csrf_exempt def register(request): username = request.POST['username'] password = request.POST['password'] ........ 取消单个视图函数的csrf验证 path('register/', csrf_exempt(RegisterView.as_view())), 注销掉CsrfViewMiddleware这个间件 MIDDLEWARE = [ .
Django AjaxCSRF
xiangxiongfly
12-17 604
文章目录JSONAjaxAjaxcsrf方式方式二文件上传 JSON JSON是指JavaScript对象表示法(JavaScript Object Notation) JSON是轻量级的文本数据交换格式 JSON.parse():将一个JSON字符串转为JavaScript对象 var json_str = '{"name":"Tom","age":20}'; var json...
django 取消检查csrf
weixin_33901843的博客
06-27 198
这两天一直在研究如何把百度的ueditor应用到django,最大的问题就是如何上传图片。一直失败,失败显示: POSThttp://192.168.182.131:8000/p_w_picpath/p_w_picpathUp403 (FORBIDDEN) 后来发现是csrf的问题导致,至于什么是csrf,看官们搜一下,一定会比我这个半生不熟的人在这里胡扯的好。 ...
Django使用Ajax使用CSRF保护
silent_missile的博客
11-05 882
Django使用Ajax使用CSRF保护需要服务器设置CSRF的相关选项。并且在客户端读取特定的信息,然后采用特定的格式发送给服务器才能正确处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值