Python-django中ajax使用POST时使用csrf_token

最新推荐文章于 2023-03-19 13:53:57 发布
最新推荐文章于 2023-03-19 13:53:57 发布
阅读量1.4w 收藏 6
点赞数 2
分类专栏: Web前端 PYTHON|Django 文章标签: django ajax csrf python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ppdouble/article/details/30512555
版权

环境:django1.6.5 python 2.6/2.7

django对POST请求需要csrf_token验证,后端会检测前端发过来的token,如果有问题可以会出现403Forbidden的错误。

这个token是由后端在页面GET请求页面文件的时候就放进去的,可以在模板中使用{% csrf_token %},例如表单的POST请求就可以这个做,会生成一个隐藏的表单域,带有后端响应页面时塞进来的随机生成的token值。而ajax的请求可以在HTTP header里把这个值放进去,后端需要响应并返回页面文件时塞进cookie,以便前端可以拿到这个值然后放到Header里再进行POST请求。

对于POST请求,要想前端有token数据,需要几个修饰方法decorator method

from django.views.decorators.csrf import csrf_protect

from django.views.decorators.csrf import requires_csrf_token

from django.views.decorators.csrf import ensure_csrf_cookie
这里使用的是这个,前端可以从cookie里拿到token值
使用的时候在相应的view或者方法上加上 

@ensure_csrf_cookie

例如:

from django.views.decorators.csrf import requires_csrf_token
from django.shortcuts import render

@requires_csrf_token
def my_view(request):
    c = {}
    c.update(csrf(request))
    return HttpResponse("value", c)

而要使POST不会检测token可以使用 

@csrf_exempt
对于ajax ,前端需要获取token

Javascipt

function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie != '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = cookies[i].trim();
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) == (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
function loaddata()
{
    var csrftoken = getCookie('csrftoken');
    var xmlhttp;
    if (window.XMLHttpRequest) {
         // code for IE7+, Firefox, Chrome, Opera, Safari
         xmlhttp=new XMLHttpRequest();
    }
    else {
        // code for IE6, IE5
        xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");
    }
    xmlhttp.onreadystatechange=function() {
        if (xmlhttp.readyState==4 && xmlhttp.status==200) {
            str = xmlhttp.responseText;
            alert(str);
        }
    }
    xmlhttp.open("POST","ajax/",true);
    xmlhttp.setRequestHeader('X-CSRFToken',csrftoken)
    xmlhttp.send();
}

要先open(),再setRequestheader(),然后再send()

JQuery 来自官方文档

function csrfSafeMethod(method) {
    // these HTTP methods do not require CSRF protection
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
function sameOrigin(url) {
    // test that a given url is a same-origin URL
    // url could be relative or scheme relative or absolute
    var host = document.location.host; // host + port
    var protocol = document.location.protocol;
    var sr_origin = '//' + host;
    var origin = protocol + sr_origin;
    // Allow absolute or scheme relative URLs to same origin
    return (url == origin || url.slice(0, origin.length + 1) == origin + '/') ||
        (url == sr_origin || url.slice(0, sr_origin.length + 1) == sr_origin + '/') ||
        // or any other URL that isn't scheme relative or absolute i.e relative.
        !(/^(\/\/|http:|https:).*/.test(url));
}
function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie != '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
             var cookie = jQuery.trim(cookies[i]);
             // Does this cookie string begin with the name we want?
             if (cookie.substring(0, name.length + 1) == (name + '=')) {
                 cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                 break;
             }
         }
    }
    return cookieValue;
}
$.ajaxSetup({
    beforeSend: function(xhr, settings) {
        if (!csrfSafeMethod(settings.type) && sameOrigin(settings.url)) {
            // Send the token to same-origin, relative URLs only.
            // Send the token only if the method warrants CSRF protection
            // Using the CSRFToken value acquired earlier
            xhr.setRequestHeader("X-CSRFToken", csrftoken);
        }
    }
});
csrftoken = getCookie('csrftoken');
$.ajaxSetup({
    beforeSend: function(xhr, settings) {
        if (!csrfSafeMethod(settings.type) && sameOrigin(settings.url)) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken);
        }
    }
});
$.ajax({url:"ajax/",type:"POST",success:function(result){
    alert(result);
}});
参考:

https://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax

http://www.w3schools.com/JQuery/ajax_ajaxsetup.asp

ppdouble
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ajax post csrf,django文档介绍的处理ajax_post,头添加csrf_token的方法
weixin_42347750的博客
08-06 276
AJAX¶While the above method遇新是直朋能到 can be used for AJAX POST requests, it has someinconveniences: you have to remember to pass the CSRF token in as POST data withevery POST request. For this reason, t...
django使用post方法,需要增加csrftoken的例子
09-17
主要介绍了在django使用post方法,需要增加csrftoken的例子,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
安全开发 | 如何让Django框架CSRF_Token通过AJAXPOST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。 教你如何在AJAX请求上设置令牌。
Django-跨域问题Csrf
Lyajpunov的博客
02-11 194
防⽌⽹站受第三⽅服务器的恶意攻击,csrf相当于在表达增加了⼀个隐藏的input框,⽤于向服务器提交⼀个唯一的随机字符串⽤于服务器验证表单是否是本服务器的表单。 在settings我们设置过这个间件,默认是开启的,我们可以注释掉并不开启 MIDDLEWARE = [ 'django.middleware.csrf.CsrfViewMiddleware', ] 一、前后端不分离 我们开启的情况下可以设置一下我们的表单 <form action="" method="post">
python requests请求带有csrf-token的网站,比如使用Django搭建的网站
水月灯花的博客
05-15 7629
1、post请求原理 在使用Python的request模块的post请求,由于网站开启了csrf跨站请求攻击,会出现403错误,因为我们在使用post候没有携带csrf数据去验证,网站会不认可我们,因此我们需要第一次的使用get请求,然后使用re正则匹配到这个csrf-token命令,取出来这个命令,然后在使用post发送请求,在请求的数据添加csrf的键值对,然后就可以使用post访问到网上了,并且也可以post请求携带数据。 2、操作方式 就是先访问一次登录页,然后从登录页查找
django-Ajax发送POST请求(csrf跨站请求的三种方式)
黑色小米粥
01-03 514
第一种 <script> $(".eq").on("click",function () { $.ajax({ url:"/eq/", type:"POST", data:{ csrfmiddlewaretoken:{{ csrf_token }}, //必须写在...
python csrf token_在django使用post方法,需要增加csrftoken的例子
weixin_39878247的博客
12-08 284
从百度查到在django使用post方法,需要先生成随机码,以防止CSRF(Cross-site request forgery)跨站请求伪造,并稍加修改:注:这是一个js文件,需要引入到html模板:这样做比使用{% csrf_token %}方便$(function () {$.ajaxSetup({headers: { "X-CSRFToken": getCookie("csrfto...
python requests模拟发送post请求之csrf处理
weixin_42227411的博客
10-11 3596
python requests模拟发送post请求之csrf处理API自动化测试post请求功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程...
python-django的APPEND_SLASH实现方法
09-19
主要介绍了python-django的APPEND_SLASH实现方法,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
python-Django-网上购书商城完整源码
03-14
完整版Python-Django项目,调试通过,直接下载即可运行包括:登陆、注册、浏览、搜索、等多个功能。可作为新手练习,课程设计,毕业设计,代码注释详细,便于理解。
python django 表单自动化_Python自动化之DjangoCSRF
weixin_39943000的博客
12-11 125
什么CSRF?CSRF, Cross Site Request Forgery, 跨站点伪造请求。举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。Django 提供的 CSRF 防护机制django 第一次响...
通过Postman进行post请求传递X-XSRF-TOKEN
如是说的博客
08-28 2万+
前言介绍 这段间一个项目后端用的是laravel.在写api接口通过Postman6进行测试.但是在测试post形式的接口laravel自带了CSRF验证机制.这就很尴尬了... 所以我们的目的在使用Postman通過XSRF的验证,以測試POST的請求。还是以laravel为例子,Laravel会返回到浏览器的GET请求将XSRF-TOKEN写在Cookie.因此我们需要从Cook...
使用python请求传递csrftoken
erfan_lang的博客
02-14 4362
如何通过python模块Requests传递csrftoken? 参考代码 import requests from bs4 import BeautifulSoup as bs import lxml # Page header head= { 'Content-Type':'application/x-www-form-urlencoded', 'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHT
【笔记】Python3|爬虫请求 CSRF-Token 如何获取TokenToken过期、处理 CSRF-Token 需要注意的问题及示例
qq_46106285的博客
03-19 6690
注意CSRF-Token可能也在响应头,以及requests请求的候要用Session,不然就会过期。
爬虫请求头遇见了X-CSRF-Token和c-token如何解决
热门推荐
qq_39138295的博客
05-06 2万+
如果遇见了,大多都是对token的加密。 今天遇见了这样一个网站: 想要获取验证码图片。抓包获取之后: requests.post()请求啊,但是请求之后一直在被网站拒绝,一直在报403.。 后来回头重新看,才发现请求头是有X-CSRF-Token和c-token来识别身份的。 这个网站比较简单,这两个值是一样的。 然后就找这两值所在的界面嘛。 全局搜索之后,发现这个是明文传输...
ajaxcsrf数据,在Django框架使用Ajax进行POST数据提交必须携带csrf_token
weixin_42499790的博客
08-06 396
Django框架使用Ajax进行POST数据提交必须携带csrf_tokencsrf_token这是一种对为了防止脚本等非人为方式访问网址的一种保护措施前端可以使用这几种方法:1、表单提交Post请求,隐藏字段就保存的csrf_token的值;2、有些情况除了表单参数还有其他数据:(1)获取表单对象,直接往表单对象添加数据,然后提交;(2)自己组装JSON格式的数据,通过ajax发起请求,...
django使用post方法,需要增加csrftoken
qq_27361945的博客
03-13 3578
从百度查到在django使用post方法,需要先生成随机码,以防止CSRF(Cross-site request forgery)跨站请求伪造,并稍加修改:注:这是一个js文件,需要引入到html模板:&lt;script src="/static/javascript/post_need_csrftoken.js"&gt;&lt;/script&gt;这样做比使用{% csrf_toke...
python csrf token cookie_{% csrf_token %} 原理和作用 (踩坑必看)
weixin_39763033的博客
02-19 327
简介在django我们需要在templates的form加入{%csrf_token%}这串内容,它的作用是当我们get表单页面,服务器返回页面的同也会向前端返回一串随机字符,post提交服务器会验证这串字符来确保用户是在服务端返回的表单页面提交的数据,防止有人通过例如jquery脚本向某个url不断提交数据,是一种数据提交的验证机制。用途跨站点请求伪造(CSRF)保护CSRF攻击允许...
django csrf_token
bigdaddy_maybe的博客
09-17 4853
在学习django候,在template写form,出现错误。要加{% csrf_token %}才可以,之前一直也没研究,只是知道要加个这个东西,具体是什么也不明白。 目的: csrf_token 是为了防止csrf(跨站请求伪造),什么是csrf,这篇文章讲的很好:这里。文章最后也说到了,防止csrf的手段就有给form加个token。 更简单的说:就是防止黑客...
django 发送post请求forbidden
最新发布
07-17
当在Django发送POST请求遇到"forbidden"(禁止访问)错误,通常是由于CSRF保护机制导致的。 Django默认启用了CSRF(Cross-Site Request Forgery)保护,这是一种用于防止跨站点请求伪造的安全机制。当你在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值