Django CSRF防护


参考视频:https://ke.qq.com/course/320021

一、CSRF是什么

CSRF(Cross Site Request Forgery):跨站请求伪造,实现的原理是CSRF攻击者在用户已经登录目标网站之后,诱使用户访

问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。

二、CSRF工作原理

Django怎么验证一个请求是不是CSRF?

Django处理客户端请求时,会生成一个随机Token,放到Cookie里一起返回,然后需要前端每次POST请求时带上这个Token,

可以放到POST数据里键为csrfmiddlewaretoken,或者放到请求头键为X-CSRFToken,Django从这两个位置取,每次处理都会

拦截验证,通过比对两者是否一致来判断这个请求是不是非法,非法就返回403状态码

三、使用CSRF防护机制

常见有三种方法可以携带CSRF Token发送给服务端

• from表单添加{% csrf_token %}标签,表单会携带一同提交

<form method="post">
	{% csrf_token %}
	用户名: <input type="text" name="username"><br>
	密码: <input type="text" name="password"><br>
	<button type="submit">登录</button>
</form>

• 如果你是Ajax请求,需要把csrf token字符串(也是通过拿{% csrf_token %}标签产生的值)放到data里一起提交,并且键名为csrfmiddlewaretoken或者放到请求头传递服务端

var csrf_token = $("[name='csrfmiddlewaretoken']").val();
var data = {'id': '123', 'csrfmiddlewaretoken': csrf_token};
$.ajax({
	type: "POST",
	url: "/api",
	data: data,
	dataType: 'json'
})

• 指定取消某函数视图CSRF防护

from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def login(request):

四、取消CSRF防护机制

在settings.py中注释该行
在这里插入图片描述

已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页