Django CSRF处理

最新推荐文章于 2021-04-18 18:29:56 发布
最新推荐文章于 2021-04-18 18:29:56 发布
阅读量289 收藏
点赞数
分类专栏: python Django 文章标签: django csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GrandG7/article/details/78656742
版权
1、setting中默认在MIDDLEWARE中设置了django.middleware.csrf.CsrfViewMiddleware,官方文档建议不要把它删了。


2、GET请求(安全的操作)不要做GET之外的操作(side effect free)。POST,PUT,DELETE方法(不安全的操作),按照以下方法来做。


3、<form>表单后一律加上{% csrf_token %},这样在网页加载时,会在此处生成一窜随机的序列,该序列同样存在于cookie中,提交表单的同时也会提交该序列,只有两者的序列相同时,才会执行后续操作,否则引起403 forbidden。

这里写图片描述
这里写图片描述

4、若是用Ajax在不刷新的情况下提交表单,则需要给XHttpRequest设置请求头,把csrf_token放到请求头里。获取token最简单的方法是使用jquery.cookie.js: $.cookie('csrftoken')。CSRF token的cookie默认就叫做csrftoken, 该名字可在setting中通过CSRF_COOKIE_NAME改变。设置请求头的方法是:

$.ajax({header: {"X-CSRFtoken": $.cookie("csrftoken")})

5、Ajax不设置请求头会导致403 forbidden。注意jquery.cookie.js的引入要在jquery.js之后。


6、尽量用render而不是render_to_response,官方文档解释:render() is the same as a call to render_to_response() with a context_instance argument that forces the use of a RequestContext.
GrandG7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
主要介绍了详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Django解决CSRF请求处理
zsrwan的博客
06-02 805
一、在提交的前端页面中写入js代码片段 // get cookie using jQuery function getCookie(name) { let cookieValue = null; if (document.cookie && document.cookie !== '') { let cookies = document.cook...
简析django源码中对csrf处理
nibuyaoshiwang的博客
01-13 163
csrf 跨站点请求伪造(Cross—Site Request Forgery),具体过程如下: 用户登录后访问某网站A,将cookies存在浏览器。 在未退出的情况下访问另一个网站B,这时候携带的信息就会全部发给B。 网站B拿着你的信息又去访问A,这样就造成了跨站请求伪造。 解决方案 检验http headers中的Referer,它的内容就是这次http请求的网站地址。对于服务端来说,在请求头部信息里我们可以过滤出有害请求地址的黑名单。 添加随机参数token,来每一次请求到来后,对比token值
Django CSRF
光明小学王小雨的博客
12-16 1723
一、CSRF攻击攻击原理及过程 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式 1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B...
如何解决DjangoCSRF问题
谭小谭的专栏
11-28 1696
  CSRF是什么? CSRF(Cross Site Request Forgery,跨站伪造请求)。举个例子来简单介绍下。有A、B两个web网站,其中A网站存在CSRF漏洞,B网站是攻击者特意设计成一个具有CSRF攻击性的网站,C为一普通用户,当用户C在浏览器中登录A网站后,A网站会将用户的登录信息如cookie返回并保存在浏览器,如果用户C在浏览器中再访问B网站,B网站会诱导用户C执行一个...
django 取消csrf限制的实例
09-17
主要介绍了django 取消csrf限制的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Django csrf 验证问题的实现
09-20
csrf是通过伪装来自受信任用户的请求来利用受信任的网站。这篇文章主要介绍了Django csrf 验证问题的实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
vue-resource post数据时碰到Django csrf问题的解决
10-15
主要介绍了vue-resource post数据时碰到Django csrf问题的解决,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Django CSRF认证的几种解决方案
09-17
主要介绍了Django CSRF认证的几种解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Django csrf 两种方法设置form的实例
09-19
今天小编就为大家分享一篇Django csrf 两种方法设置form的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
一起学习Django框架(十)Django中间件;浅谈CSRF_TOKEN
Simple子夜
04-18 1333
目录Django中间件(MiddleWare)一、什么是中间件二、中间件的作用三、自定义中间件3.1 process_request与process_response方法3.2 process_view方法3.3 process_exception3.4 process_template_responseCSRF_TOKEN一、CSRF是什么二、CSRF攻击原理三、CSRF攻击防范 Django中间件(MiddleWare) 中间件本身是一个很大的范围,比如:数据库中间件、服务器中间件、消息队列中间件等等
Django 024】中间件Middleware(三):Django自带csrf中间件源码分析以及跳过csrf报错的四种方法
T型人小付的博客
04-17 852
Django作为一个重量级框架,其已经事先为我们内置了很多安全模块,CSRF中间件就是其中之一。那么究竟什么是CSRF,其中间件工作原理是怎样的,我们又应该如何去使用CSRF呢。这一篇文章我们一起来深入学习一下。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录什么是CSRFCSRF的防范策略Django中的...
DjangoCSRF防御全过程解析以及中间件作用机制
Deft_MKJing的博客
05-21 2384
前言 XSS和CSRF攻击的基础原理这里就不介绍了,之前写了一篇文章单独介绍的很详细了,传送门,这里我们直接以Django为分析对象,分析中间件csrf生成原理以及防范Token如何运作的。 CSRF中间件 官方文档介绍的也是表面,本文通过源码层面直接分析流程 官方文档针对CSRF的介绍以及参数配置 传送门 Settings文件 Setting.py中有茫茫多的配置选项。传送门 Django全流程...
Django中间件解析
bocai_xiaodaidai的博客
03-20 1356
一、什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。 每个中间件组件都负责做一些特定的功能。但是由于其影响的是全局,所以需要谨慎使用,使用不当会影响性能。 说的直白一点中间件是帮助我们在视图函数执行之前和执行之后都可以做一些额外的操作,它本质上就是一个自定义类,类中定义了几...
Django通用类使用例子
GrandG7的博客
01-04 1030
使用ListView显示model的内容1、自定义类类继承ListView,model=<要显示的model类>。 2、url写,自定义类.as_view() 3、默认渲染模板位置,可通过类名“template_name”自定义 4、默认传到模板的Context名字为:object_list或model名小写_list, 可通过类变量‘context_object_name’自定义。 5、定
pythonan安装jupyter
GrandG7的博客
01-28 475
python3.6版本版本,在pip install jupyter notebook后,启动jupyter时,报No module named 'markupsafe._compat'错误。google一番后,在git base中运行pip uninstall markupsafe卸载markupsafe模块,再在git base中输入pip install markupsafe,成功安装后再打开
Django上传文件
GrandG7的博客
10-31 345
Django上传文件版本1.10.51、 Settings: myproject/settings.pyMEDIA_ROOT = os.path.join(BASE_DIR, 'media') MEDIA_URL = '/media/'MEDIA_ROOT: 上传文件的存放位置MEDIA_URL: serve文件的寻找目录2、myproject/myapp/models.pyclass Docume
Django发邮件
GrandG7的博客
11-28 288
1、setting.py 设置EMAIL_BACKEND = 'django.core.mail.backends.smtp.EmailBackend' EMAIL_HOST = "smtp.163.com" # 网易邮箱为例 EMAIL_PORT = '25' # 网易邮箱的端口 EMAIL_HOST_USER = '你的邮箱' EMAIL_HOST_PASSWORD =
django CSRF verification failed. Request aborted.
最新发布
06-15
这个错误通常是由于 DjangoCSRF 保护机制导致的。DjangoCSRF 保护是一种安全机制,用于防止恶意网站利用用户的身份在你的网站上执行一些操作。在 Django 中,当用户提交表单时,Django 会生成一个 CSRF 令牌...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值