django之 csrf

最新推荐文章于 2021-01-27 22:16:57 发布
最新推荐文章于 2021-01-27 22:16:57 发布
阅读量212 收藏
点赞数
分类专栏: django 文章标签: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qdynasty/article/details/85167008
版权

在django中 csrf相当于中间件,CSRF的作用则是对请求进行一次验证,目的是为用户实现防止跨站请求伪造的功能。对于django中设置防跨站请求伪造功能有分为全局和局部。
相对应的对于form表单以POST提交方式而言,需要携带csrf随机字符串才能拿通过,在html界面中需要添加这样。

<form action="/add/" method="post">
    {% csrf_token %}
    <input type="text" name="play_name" placeholder="球员姓名">
    <input type="text" name="play_team" placeholder="效力球队" >
    <input type="text" name="pl" placeholder="球员号码">
    <input type="text" name="score" placeholder="场均得分">
    <input type="submit" value="提交">
</form>
加上一句{%csrf_token%},浏览器会生成随机验证字符已通过csrf验证。
对于ajax请求

则需要添加上这样一句 headers: {
‘X-CSRFtoken’:$.cookie(‘csrftoken’)},

 function tt() {
        $.ajax({
            url: '/update/',
            type: 'POST',
            headers: {'X-CSRFtoken': $.cookie('csrftoken')},
           data: {
                'id': $('#0').val(),
                'name': $('#1').val(),
                'team': $('#2').val(),
                'number': $("#3").val(),
                'score': $("#4").val()
            },
            success: function (data) {
                alert(data)
            }
        })
}

当页面有许多ajax请求时,可以加上这一句,则ajax请求则不用在添加请求头。

 $.ajaxSetup({
            beforeSend:function (xhr,settings) {
                xhr.setRequestHeader("X-CSRFtoken",$.cookie("csrftoken"))
            }
        });

对于get请求,则没有要求。
同样django提供全局和部分的csrf,对于部分需要添加csrf验证的我们可以添加@csrf_protect装饰器。
对于不需要的可以添加@csrf_exempt装饰器

from django.views.decorators.csrf import csrf_exempt,csrf_protect
Qdynasty
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django_CSRF_原理分析
Golang & Python 我的最爱
09-19 2074
关于CSRFCSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。
django csrf
weixin_42886895的博客
07-23 182
csrf攻击的原理和解决方法网上一搜一大把 https://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 这里主要说一下django的解决办法。 1、django给了一个间件解决csrf攻击’django.middleware.csrf.CsrfViewMiddleware’, 开启了这个间件,那么所有的post、put、head都需要带上csrf_token这个字符串 2、在使用这个间件时需要前端在提交的时候带上csrf_token。 具
DjangoCSRF 保护机制
weixin_34348174的博客
12-02 224
django 有多久,我跟 csrf 这个概念打交道就有久了。 每次初始化一个项目时都能看到 django.middleware.csrf.CsrfViewMiddleware 这个间件 每次在模板里写 form 时都知道要加一个 {% csrf_token %} tag 每次发 ajax POST 请求,都需要加一个 X_CSRFTOKEN 的 header 但是一直我都是...
Django——CSRF防御
小白一直白
01-28 447
关于CSRF攻击原理在上一篇博客已经有过说明,这篇主要介绍下Django关于开启CSRFCSRF工作机理。关于开启防御有两种,一种是全局开启,另一种是局部开启。 全局: 间件 django.middleware.csrf.CsrfViewMiddleware 局部:from django.views.decorators.csrf import csrf_exempt,csrf_prot...
Django CSRF
光明小学王小雨的博客
12-16 1858
一、CSRF攻击攻击原理及过程 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式 1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未退出网站A之前,在同一浏览器,打开一个TAB页访问网站B...
Django, csrf
rcompass1107的专栏
10-14 721
I have recently updated a website from Django 1.0 to 1.3. One of the changes introduced wasautomatic protection against CSRF attacks. For the most part, this works great, but I have a problem with c
详解DjangoCSRF认证
renpingsheng66的博客
10-08 189
&#13; 1.csrf原理 csrf要求发送post,put或delete请求的时候,是先以get方式发送请求,服务端响应时会分配一个随机字符串给客户端,客户端第二次发送post,put或delete请求时携带上次分配的随机字符串到服务端进行校验 2.DjangoCSRF间件 首先,我们知道Django间件作用于整个项目。 在一个项目,如果想对全局所有视图函数或视...
第22周-第11章节-Python3.5-DjangoCSRF原理详解2.avi
02-10
第22周-第11章节-Python3.5-DjangoCSRF原理详解2.avi
第22周-第10章节-Python3.5-DjangoCSRF原理详解1.avi
02-10
第22周-第10章节-Python3.5-DjangoCSRF原理详解1.avi
django 取消csrf限制的实例
09-17
Django框架CSRF(Cross-site request forgery,跨站请求伪造)是一种重要的安全机制,用于防止恶意第三方在用户浏览器伪造请求到你的应用。然而,在某些情况下,例如前后端分离的项目或者API接口,你可能...
djangoCSRF的问题及解决
06-05
CSRF是Cross Site Request Forgery的缩写,称其为“跨站请求伪造”。常与XSS想提并论,但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以有时候被认为比XSS更具危险性。
django-csrf使用和禁用方式
12-20
Django CSRF(跨站请求伪造)是Web应用一种安全机制,用于防止恶意第三方伪造用户的请求。在Django框架CSRF保护是默认启用的,以确保只有合法的用户操作才能被执行。以下是对标题、描述和标签内容的详细解释:...
django CSRF
u014379665的专栏
03-14 348
什么是CSRF 问题是解决了,但我不禁回想为什么在Django里提交POST表单要配置那么麻烦(其实也不麻烦,但对新手来说就不一样了),于是搜索关键字看看,得知它是一种跨站请求伪造,黑客可以利用这个攻击站点。而Django里的使用这个机制就是防止CSRF模式攻击,原理大致是当你打开页面的时候产生一个csrftokey种下cookie,然后当你提交表单时会把本地cookie里的csrftoke
djangocsrf
qq_39112101的博客
07-16 297
CSRF跨域伪造攻击 使用当前浏览器还在生效状态的cookie对指定网站进行操作。最初针对的是银行网站的转账。 Django本身会对csrf进行校验,在django的1.4版本之前,csrf默认关闭,需要在settings当手动开启,在1.4之后,默认开启。在settings.pycsrf的配置如下。 如何防止csrfdjango的任何post请求,都会在请求之初,给...
DjangoCSRF 机制
十年饮冰,难凉热血
11-18 321
在理解DjangoCSRF机制前,可以先补一补基础知识 官网对于CSRF的说明 pythenweb 开发csrf机制 CSRF全称 Cross-site request forgery (CSRF) 很简单的一个知识点,就是一个跨站请求伪造保护,看一下官网对于CSRF的说明和csrf机制两篇文章对CSRF机制有个初步理解。 实战 CSRF机制的载体Django自带的间件 知识点部...
DjangoCSRF原理及应用详解
热门推荐
AlexGeek
09-22 1万+
 Web开发十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造(CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
Django CSRF防护
运维@小兵的博客
01-27 587
文章目录一、CSRF是什么二、CSRF工作原理三、使用CSRF防护机制四、取消CSRF防护机制 参考视频:https://ke.qq.com/course/320021 一、CSRF是什么 CSRF(Cross Site Request Forgery):跨站请求伪造,实现的原理是CSRF攻击者在用户已经登录目标网站之后,诱使用户访 问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 二、CSRF工作原理 Django怎么验证一个请求是不是CS
Django CSRF 理解与使用
Fe_cow的博客
06-09 1223
Django CSRF 理解 一、CSRF 使用: Django 为用户实现防止跨站请求伪造的功能,通过间件django.middleware.csrf.CsrfViewMiddleware来完成。 全局设置间件: # 在setting.py 默认django 框架就会开启配置项 MIDDLEWARE = [ 'django.middleware.csrf.CsrfViewMi...
djangocsrf的实现机制
qq_41373975的博客
03-09 1424
1)启用间件 2)post请求 3)验证码 4)表单添加{% csrf_token%}标签 Django 原生支持一个简单易用的跨站请求伪造的防护。当提交一个启用CSRF 防护的POST 表单时,你必须使用上面例子csrf_token 模板标签。 #第一步:django第一次响应来自某个客户端的请求时,后端随机产生一个token值,把这个token保存在SESSION状态;同时,后端把这...
django关闭CSRF
最新发布
07-17
csrf_exempt是Django的一个装饰器,用于跳过请求CSRF检查。在视图函数使用csrf_exempt装饰器后,该视图将不会受到DjangoCSRF保护机制的限制。这意味着POST、PUT、DELETE等请求将不被拒绝或抛出异常。但这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值