django csrf_token生成

最新推荐文章于 2022-10-11 14:10:03 发布
最新推荐文章于 2022-10-11 14:10:03 发布
阅读量227 收藏
点赞数
文章标签: python
原文链接:http://www.cnblogs.com/xupeiyuan/p/4246845.html
版权

django模板中生成csrf_token的不同方式

系统环境CENTOS 6.4
python2.7.6
django 1.7.1

当post提交表单的的时候,是需要 csrf_token的,
它需要把request也添加到模板中,第二到第四个例子,会生成 csrf_token

当你用post提交表单,但是没有csrf_token的时候,会提示下面的错误:

    Forbidden (403)
    CSRF verification failed. Request aborted.

两种可选解决方式:

  • 注释 settings.py中的MIDDLEWARE_CLASSES 中的 'django.middleware.csrf.CsrfViewMiddleware',*
  • 在 HTML的 表单中添加{% csrf_token %}, 注意不是 {{ csrf_token }},
    {{ csrf_token}} 生成一个字符串,比如:lV1qtJ6GdSLChZLE6yYH37f10mN7Pjrd;
    {% csrf_token %} 是生成一个hidden的字段,比如<input type='hidden' name='csrfmiddlewaretoken' value='lV1qtJ6GdSLChZLE6yYH37f10mN7Pjrd' />

django的csrf middleware 是保护django免受csrf攻击的!
它需要把request也添加到模板中,第二到第四个例子,会生成 csrf_token

下面4个例子中,主要是为了展示什么情况,才有csrf_token,所以才使用了{{ csrf_token }}, 当表单中使用的时候,必须使用 {% csrf_token %}!!!

django的测试环境,是django tutorial中的mysite和polls

django-admin startproject mysite
cd mysite
python manage.py startapp polls

mysite/views.py

from django.http import HttpResponse
from django.shortcuts import render, render_to_response
from django.template import RequestContext, loader, Context

def my_view(request):
    t = loader.get_template('test.html')
    c = Context({'name':'my_view'})
    return HttpResponse(t.render(c),
                        content_type="text/html")
def my_view1(request):
    t = loader.get_template('test.html')
    c = RequestContext(request, {'name':'my_view1'})
    return HttpResponse(t.render(c),
                        content_type="text/html")

def my_view2(request):
    return render_to_response('test.html', {'name':'my_view2'},
            content_type="text/html",
        context_instance=RequestContext(request),
        )

def my_view3(request):
    return render(request, 'test.html', {"name":"my_view3"},
            content_type="text/html")

模板test.html的内容:

test.html模板必须放在template目录中,而不可以在其子目录中
polls/templates/test.html

<html>
    <body>
        
        <h1>{{ name }}</h1>
        <h1>{{ csrf_token }}</h1>

    </body>
</html>

mysite 中 的 urls.py

from django.conf.urls import patterns, include, url
from django.contrib import admin

urlpatterns = patterns('',
    url(r'^polls/', include('polls.urls', namespace='polls')),
    url(r'^admin/', include(admin.site.urls)),
)

polls 中的 urls.py

urlpatterns = patterns('',
    url(r'^my_view/$', views.my_view, name='my_view'),
    url(r'^my_view1/$', views.my_view1, name='my_view1'),
    url(r'^my_view2/$', views.my_view2, name='my_view2'),
    url(r'^my_view3/$', views.my_view3, name='my_view3'),
)

访问4个链接,得到下面的结果:

my_view

my_view1

my_view2

my_view3

转载于:https://www.cnblogs.com/xupeiyuan/p/4246845.html

amo16617
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
django restframework-simplejwt 自定义用户模型生成token
qq_45107406的博客
06-09 696
url导入创建的文件Authentication,导入自定义的MyTokenObtainPairView,然后添加路由。文件里写入下面代码,代码中的用户模型model改为自己的,我的模型叫User。四、添加view和url,使用postman测试。用户model添加方框中的内容: 增加。写一个view,测试token
django中间件生成csrf_token
fksfdh的博客
03-04 2416
class MiddlewareMixin: #django启动时就执行,与用户无关 def __init__(self, get_response=None): self.get_response = get_response super().__init__() def __call__(self, request): re...
django 中的 csrf_token
bigdaddy_maybe的博客
09-17 4889
在学习django的时候,在template中写form时,出现错误。要加{% csrf_token %}才可以,之前一直也没研究,只是知道要加个这个东西,具体是什么也不明白。 目的: csrf_token 是为了防止csrf(跨站请求伪造),什么是csrf,这篇文章讲的很好:这里。文章最后也说到了,防止csrf的手段就有给form加个token。 更简单的说:就是防止黑客...
django csrftoken
weixin_30662849的博客
04-04 274
CSRF(跨站请求伪造) 背景知识:浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。浏览器的同源策略并不能阻止CSRF攻击,因为浏览器不会停止js发送请求到服务端,只是在必要的时候拦截了响应的内容。或者说浏览器收到响应之前它不知道该不该拒绝。 攻击过程: 假设abc用...
django设置csrf_token
qq_43593912的博客
05-11 3597
一、关于csrf_token csrf:跨站请求伪造,防止其他人改造,盗取信息,反正就是一种网站的防护措施 服务器端:设置随机的csrf_token,get请求的时候就该设置好 客户端:携带上相应的csrf_token,post请求的时候携带上 二、form表单设置csrf_token 通过模板标签进行设置 当提交post请求的时候会自动带上 三、针对某个类视图设置csrf_token fr...
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
详解DjangoCSRF认证实现
09-20
另外,对于使用Ajax的POST请求,也需要确保在请求头中携带CSRF token,例如设置为`X-CSRFToken`。 总的来说,DjangoCSRF认证实现是其安全性的重要组成部分,有效地防止了恶意的跨站请求,保护了用户的数据安全。...
api.rar_Token 使用redis_django_exclaimedthp_redis_roselgr
09-24
path('refresh/', CustomTokenRefreshView.as_view(), name='token_refresh'), ``` 5. **Redis中的Token管理**:一旦生成Token,它们会被存储在Redis中。你可以设置一个过期时间,以在一定时间后自动清除Token,...
Python库 | django_request_token-0.14.1-py3-none-any.whl
02-16
总之,`django_request_token`是一个对Django开发者来说至关重要的安全工具,它简化了CSRF防护的实现,让开发者能专注于更重要的业务逻辑,而不必担心安全性问题。通过正确使用这个库,你可以确保你的Python/Django...
django中使用post方法时,需要增加csrftoken的例子
09-17
如果是在Django的HTML模板中处理POST请求,你可以简单地在表单中加入`{% csrf_token %}`模板标签,这样Django会自动生成并插入CSRFToken: ```html {% csrf_token %} <!-- 其它代码 --> ``` 然而,如果你的...
Django+JWT实现Token认证的实现方法
09-19
主要介绍了Django+JWT实现Token认证的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
django 怎么生成token PyJWT
Z_Gleng的博客
04-10 1211
基于JWT的Token认证 JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 首先下载 pip install PyJWT 使用 jwt里面有三个参数 第一个是字典类型的数据 第二个是加密的密钥 第三个是运算规则 >>> import jwt >>> encoded = jwt.encode({"some": "payload"}, "secret", algorithm="HS..
django session以及csrf token的创建过程
cy_shichao的博客
01-08 1022
我们都知道session对应的是用户信息,django为登录的用户创建session的过程如下: 1、用户首次打开登录页面时,由于之前没有登录过,所以request头中不包含cookie字段 登录页面返回时会让用户设置csrf token 2、用户输入用户名和密码后,点击登录: 此时的POST请求的request头中会携带之前的csrftoken加密过后的csrfmiddlewaretok...
django登录实现自动生成token
qq_60976312的博客
10-11 1857
django登录实现自动生成token
[django] csrf
诗与浪子的博客
08-15 177
原理 csrf_token生成 csrf_token:mask + cipher mask:32位字母数字组合,随机生成。 cipher:32位字母数字组合,由csrf_secret生成。 通过随机生成一个32位的字母数字组合作为csrf_secret,然后通过随机的mask加上cipher(处理后的csrf_secret)生成cookie中的csrftoken和表单中的csrftoken。cookie中的csrf会长时间保留(有效期1年),每次表单中的的csrftoken都是根据它生成。 从上图可以看到
Django生成token的第三方封装
m0_46160970的博客
05-02 379
#!/usr/bin/env python # -*- coding:utf-8 -*- ''' @FileName :utils.py @desc : 邮箱验证 @Author :Young @IDE :PyCharm @Time :2021/2/21 0021 9:44 ''' #一是产生token发送邮件, #二是处理验证连接,采用base64进行加密,采用itsdangrous进行序列化 from itsdangerous import URLSafeTi
django项目后台开发】Token和Session的区别、Token生成方式(1)
python全栈
05-17 1089
一、什么是JWT Json web token (JWT), 是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适⽤于分布式站点的单点登录(SSO)场景。JWT的声明⼀般被⽤来在身份提供者和服务提供者间传递被认证的⽤户身份信息,以便于从资源服务器获取资源,也可以增加⼀些额外的其它业务逻辑所必须的声明信息,该token也可直接被⽤于认证,也可被加密。 二、token的认证和传统的session认证的区别 1、传统的session认证
Django_token&静态文件&媒体文件
G_SANGSK的博客
05-29 502
token&amp;静态文件&amp;媒体文件 1. token 1. 会话技术 2. 服务端会话技术 3. 它实际上就是手动实现的session 4. 实现token 4.1 在models.py中User类中添加token字段 class User(models.Model):            name = models.CharField(max_length=3...
DjangoCSRF
qq_43687990的博客
09-20 207
1.csrf原理 csrf要求发送post,put或delete请求的时候,是先以get方式发送请求,服务端响应时会分配一个随机字符串给客户端,客户端第二次发送post,put或delete请求时携带上次分配的随机字符串到服务端进行校验 2.Django中的csrf使用 Django中的csrf中间件作用于整个项目。Django内置了很多中间件,其中之一便有csrf中间件: MIDDLEWARE ...
django {% csrf_token %}
最新发布
05-16
Django中,使用{% csrf_token %}标签可以生成一个随机的CSRF令牌。这个令牌会在提交表单时一起提交给服务器,服务器会验证这个令牌是否与用户登录信息匹配,如果不匹配,则认为这是一次恶意请求,服务器会拒绝执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值