1、什么是CSRF?
CSRF(Cross-site request forgery), 中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF
2、CSRF攻击过程
从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:
1、登陆受信任的网站A,并在本地客户端(浏览器)产生Cookie;
2、在不退出A的情况下(准确的说是在访问A网站产生的Cookie不过期的情况下),访问危险网站B;
3、Django 的CSRF防御机制
注:django框架只对来自客户端的post请求进行CSRF防御,get请求django默认是合法的请求
django 在第一次响应来自某个客户端的请求时,会在服务器端随机产生一个token,把这个token放在cookie里,然后每次
post请求都会携带这个token,这样就能避免CSRF攻击。
4、具体的实现方法
django通过中间件 django.middleware.csrf.CsrfViewMiddleware 来防止跨站请求伪造,而对于django中设置防止,跨站请求伪造功能分为全局设置和局部设置。
全局:
中间件 django.middleware.csrf.CsrfViewMiddleware
注:中间件会在全局上进行防止post请求的CSRF攻击
局部:
1、@csrf_protect,为当前View视图函数强制设置防CSRF攻击,即便settings中没有设置全局的中间件
2、@csrf_exempt,取消当前View视图函数防止CSRF攻击,即便settings中设置了全局中间件(也可以在url中取消csrf防护)
注:from django.views.decorators.csrf import csrf_exempt, csrf_protect
@csrf_protect
def ajax_demo(request):
return render(request, 'ajax_demo.html')
具体应用
{% csrf_token %}或在Ajax中Post请求时加上 csrfmiddlewaretoken='{{ csrf_token }}'
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
