django避免csrf_token验证

已于 2023-09-17 20:14:52 修改
阅读量443 收藏 2
点赞数 2
文章标签: django csrf 前端 后端
于 2023-05-18 16:46:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZCR73/article/details/130750546
版权
  • 当网页通过自定义的post函数提交虚拟表单时,由于csrf_token的缺失,django服务器会拒绝接收这一post请求
<script>
    function post(elements) {      
        var virtual_form = document.createElement("form");  
        virtual_form.action = '';//填写需要提交的目标url,django中如果是向自己发送post请求,直接填写''      
        virtual_form.method = "post";      
        virtual_form.style.display = "none";      
        for (var x in elements) {      
            var e = document.createElement("textarea");      
            e.name = x;      
            e.value = elements[x];      
            virtual_form.appendChild(e);      
        }      
        document.body.appendChild(virtual_form);      
        virtual_form.submit();      
        return virtual_form;      
    }
</script>

  • 将所有的csrf_token验证都关闭是不安全的,因此考虑views.py文件中对单个函数关闭csrf_token验证

  • 首先在views.py里import关闭csrf_token验证的函数

from django.views.decorators.csrf import csrf_exempt
  • 在views.py文件里找到绑定提交事件的函数
def data_submit(req):
    return render(
        req,
        'data_submit.html',
    )
  • 在函数前面加上@csrf_exempt
@csrf_exempt
def data_submit(req):
    return render(
        req,
        'data_submit.html',
    )
  • 这样,对于data_submit这个函数就能免除csrf_token验证
  • 同时,对于其他函数,csrf_token验证仍然有效
cinkpcpwpoin1204612
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。 教你如何在AJAX请求上设置令牌。
django 取消csrf限制的实例
09-17
主要介绍了django 取消csrf限制的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Django前端获取 csrftoken 的几种方式以及源码解释(超详细)
她°
06-10 4293
如果是前后端不分离的项目,django 为了防止 XSS 攻击,要求所有 form 表单提交时加上 标签,前端会再 html 中加入一个 input 标签 这个中间件就是来验证 csrf_token 如果没有加,就会出错,这个 token 每次刷新页面时都会刷新,客户在请求时。会再服务器端生成一个 token,然后放在 cookie里面,每次 post 请求都会带上这个 token,去和表单里面的去对比。官⽅⽂档中说到,检验token时,只⽐较secret是否和cookie中的secret值⼀样,⽽不是
处理Djangocsrf跨站请求保护机制
hi_sir_destroy的博客
07-20 216
三种方法: 方法一:在form表单中加入{% csrf_token %},达到保护要求避免这个机制生效,csrf_token的作用就是通过渲染,将token替换为一个input,value等于随机数token的标签,然后提交,提交的时候会提交随机数token,然后在服务器端进行token验证。如: <form action="" method="post" enctype="multipart/form-data"> {% csrf_token %} <d
一起学习Django框架(十)Django中间件;浅谈CSRF_TOKEN
Simple子夜
04-18 1334
目录Django中间件(MiddleWare)一、什么是中间件二、中间件的作用三、自定义中间件3.1 process_request与process_response方法3.2 process_view方法3.3 process_exception3.4 process_template_responseCSRF_TOKEN一、CSRF是什么二、CSRF攻击原理三、CSRF攻击防范 Django中间件(MiddleWare) 中间件本身是一个很大的范围,比如:数据库中间件、服务器中间件、消息队列中间件等等
Django项目报错: 禁止访问(403),CSRF验证失败,相应中断
hao_sir
02-28 365
如果想要取消表单的CSRF防护,可以在模板上删除{% csrf_token %}, 并且在相应的视图函数中添加装饰器@csrf_exempt, 代码如下: from django.views.decorators.csrf import csrf_exempt @csrf_exempt def registerView(request):   pass   return render...
访问网址 token的格式_Django使用Pyjwt、restframework、restframeworkjwt 生成token
weixin_39639049的博客
11-20 221
Token在移动端开发或者前后端分离开发时,我们会经常用到token(令牌)来验证并保留登录状态,通过向登录接口以post请求方式来发送登录表单获取token,将token保存到本地,并在请求需要身份认证的 url 时,将token放到请求头中就可以直接访问,不用再登录。token生成的方法有很多种,我们这里不关注具体的生成算法,只是关注功能性实现。注意事项需要有一定的django基础,...
Django取消CSRF限制
Tomonkey的专栏
06-04 1884
在前后端分离的时候,前端请求时接口中请求头没有CSRF token,然后就报错了 Reason given for failure: CSRF token missing or incorrect. In general, this can occur when there is a genuine Cross Site Request Forgery, or when Django's CSRF mechanism has not been used correctly. For
django-restframework之接口全局认证
9527
08-22 1193
上篇文章我们讲到了接口认证,但是还没有讲完,现在我们继续完善这方面的知识 上篇文章所做的接口认证,是针对单个接口进行的 如果要做我们所有的接口都需要进行接口认证呢? 于是乎,我们可以实现一个全局的接口认证,并且非常容易 就是在settings中做一下配置就行了 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES':( 'AP...
django如何阻止CSRF的使用
Colinspace
11-23 937
CSRF 是指跨站请求伪造,跨站请求伪造的问题在于,服务器信任来自客户端的数据如果没有 CSRF 面临的风险是:跨站请求伪造是指攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息。
彻底关闭djangocsrf认证
最新发布
m0_52513940的博客
01-01 491
将该文件插入settings.py。
Django csrf 两种方法设置form的实例
12-30
第一种方法,在视图函数上边添加一条...第二种方法,给出例子,主要为在html的form里面加入{% csrf_token %}这句话,视图函数内加入render(request, ‘app/breakdown_view.html’, locals()) 例子: <form clas
解决Django提交表单报错:CSRF token missing or incorrect的问题
12-20
CSRF token missing or incorrect 具体报错页面如下: 2、有道词典翻译后如下: 通常,当存在真正的跨站点请求伪造时,或者DjangoCSRF机制没有被正确使用时,就会出现这种情况。至于邮递表格,你须确保: 您的...
django-csrf使用和禁用方式
12-20
{% csrf_token %} b. 全站禁用 # ‘django.middleware.csrf.CsrfViewMiddleware’, c. 局部禁用 'django.middleware.csrf.CsrfViewMiddleware', from django.views.decorators.csrf import csrf_exempt @...
使用Ajax (put delete ) django原生CBV 出现csrf token解决办法
weixin_30491641的博客
05-14 176
原因 django原生CBV中对于 Ajax put 或 delete 请求进行封装时,会把请求数据放在 request.body里, 所以获取不到csrf token 方式一: 关闭csrf 中间件 简单粗暴 方式二: 针对CBV视图跨过csrf认证 先引入 from django.views.decorators.csrf import csrf_exempt ...
django-rest-framework 的token认证取消csrf
smartwu_sir的博客
04-25 3648
django-rest-framework 的token认证取消csrf 1. 有的django-rest-framework 是强制进行csrf的,有的不是,有的是,具体不清楚 2. 可以写个中间键把这个强制csrf去掉 from django.utils.deprecation import MiddlewareMixin class DisableCSRFCheck(Middle...
记:前后端分离项目中@IgnoreToken注解的使用
zkcJava的博客
08-22 2339
记:前后端分离项目中@IgnoreToken注解的使用一、在前后端分离项目中,有部分接口通常不需要携带token验证就能访问。可以通过自定义注解来完成。具体做法分为以下几步:二、设置在开发环境时,调试接口不需要携带token 一、在前后端分离项目中,有部分接口通常不需要携带token验证就能访问。可以通过自定义注解来完成。具体做法分为以下几步: 创建自定义注解@IgnoreToken @Retention(RetentionPolicy.RUNTIME) @Target(value = {Eleme
禁止(403)CSRF验证失败请求中止即使使用{%csrf_token%}
dituirenwu的博客
02-26 2032
django {% csrf_token %}
05-16
Django中的CSRF(Cross Site Request Forgery)是一种攻击方式,攻击者利用用户已登录的状态,伪造用户的请求,从而执行一些恶意操作。为了防止这种攻击,Django提供了CSRF保护机制。 在Django中,使用{% csrf_token %}标签可以生成一个随机的CSRF令牌。这个令牌会在提交表单时一起提交给服务器,服务器会验证这个令牌是否与用户登录信息匹配,如果不匹配,则认为这是一次恶意请求,服务器会拒绝执行该请求。 使用{% csrf_token %}标签很简单,只需要在表单中添加该标签即可: ``` <form method="post"> {% csrf_token %} <!-- 其他表单元素 --> <button type="submit">提交</button> </form> ``` 在提交表单时,Django会自动将CSRF令牌添加到表单数据中,并在服务器端验证令牌的有效性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值