什么是CSFR
答:跨站请求伪造
举例:
一个网站是没有办法控制谁给他发送请求的,例如我下面这几行代码就可以直接由本地访问搜狗搜索去。他不能阻止
<form method="get" action="https://www.sogou.com/sgo"> <input type="text" name="query"> <input type="submit" value="提交"> </form>
结果:
所以就出现了‘钓鱼网站’。。。
钓鱼网站制作出跟银行app一样的网页,去诱导用户操作,转账等,然后访问银行的接口,实现资金盗取。所以银行区分访问来源的合法性成了关键。
解决方法:
form表单添加上{% csrf_token %}
<form method="get" action="https://www.sogou.com/sgo"> {% csrf_token %} <input type="text" name="query"> <input type="submit" value="提交"> </form>
效果:
任何网页都是用户发送请求,由银行返回给用户的,如果你的页面中含有上面的{%csrf_token%},那么服务端会在页面生成的时候,自动生成token值,在post请求提交的时候一起提交给服务端,服务端就可以辨别这个token是不是自己发出去的,从而就可以区分是不是钓鱼网站。token值肯定是动态的,刷新下页面,token会更新一次。
配置文件,控制校验csrf的是这一行内容。如果不想校验csrf,可以注释掉
总结:
现在了解了{%csrf_token%}的意义了,所以以后每次post请求,记得加上这行内容哦!!!