1.案例流程图:
2.django防止csrf的方式:
1 ) Django中默认打开csrf中间件。settings.py文件中:
MIDDLEWARE_CLASSES = (
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware', # django默认启用了csrf防护,只针对post提交
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
'django.middleware.security.SecurityMiddleware',
)
2 ) 表单post提交数据时加上{% csrf_token %}标签。
3.防御原理:
1 ) 渲染模板文件时在页面生成一个名字叫做csrfmiddlewaretoken的隐藏域。
2 ) 服务器交给浏览器保存一个名字为csrftoken的cookie信息。
3 ) 提交表单时,两个值都会发给服务器,服务器进行比对,如果一样,则csrf验证通过,否则失败。