vue+django前后端分离解决csrf token问题

最新推荐文章于 2024-09-15 09:18:46 发布
最新推荐文章于 2024-09-15 09:18:46 发布
阅读量6.8k 收藏 14
点赞数 4
分类专栏: Vue.js 文章标签: vue解决csrf问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34663267/article/details/109387744
版权

一、CSRF攻击(Cross Site Request Forgery,跨站请求伪造):
是攻击者通过跨站请求,以合法的用户身份进行非法操作(如转账或发帖等)。CSRF的原理是利用浏览器的Cookie或服务器的Session,盗取用户身份,其原理如下图所示。
在这里插入图片描述

防范CSRF的主要手段是识别请求者的身份,主要有以下几种方式:

  • 在表单中添加令牌(token)
  • 验证码
  • 检查请求头中的Referer(前面提到防图片盗链接也是用的这种方式)

令牌和验证都具有一次消费性的特征,因此在原理上一致的,但是验证码是一种糟糕的用户体验,不是必要的情况下不要轻易使用验证码,目前很多网站的做法是如果在短时间内多次提交一个表单未获得成功后才要求提供验证码,这样会获得较好的用户体验。

二、Django CSRF 中间件:
1.概述:
为了避免上面情况的出现,Django引用了CSRF防护机制;Django为了防止跨站请求伪造,即csrf攻击,提供了CsrfViewMiddleware中间件来防御csrf攻击。Django第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 token,并把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token,这样就能避免被 CSRF 攻击。如果POST请求中没有token随机字符串,则返回403拒绝服务。

  • 在返回的 HTTP 响应的 cookie 里,django 会为你添加一个 csrftoken 字段,其值为一个自动生成的 token
  • 在所有的 POST 表单时,必须包含一个 csrfmiddlewaretoken 字段 (只需要在模板里加一个 tag, django 就会自动帮你生成,见下面)
  • 在处理 POST 请求之前,django 会验证这个请求的 cookie 里的 csrftoken 字段的值和提交的表单里的 csrfmiddlewaretoken 字段的值是否一样。如果一样,则表明这是一个合法的请求,否则,这个请求可能是来自于别人的 csrf 攻击,返回 403 Forbidden。
  • 在所有 ajax POST 请求里,添加一个 X-CSRFTOKEN header,其值为 cookie 里的 csrftoken 的值

2.启用方式:
(1)settings里面全局启用:

MIDDLEWARE = [
    'corsheaders.middleware.CorsMiddleware',
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'middleware.authenticate.authenticateMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',  # csrf
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'middleware.logStash.logStashMiddleware',
]

(2)局部使用方法:

先导入

from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
@csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

三、解决方案:
阅读django CsrfViewMiddleware源码可知,csrftoken可以放在请求参数(csrfmiddlewaretoken)里面或者请求头(X-CSRFToken)里:

axios.defaults.withCredentials = false;
axios.interceptors.request.use((config) => {
  config.headers['X-Requested-With'] = 'XMLHttpRequest';
  config.headers['X-CSRFToken'] = cookie.parse(document.cookie).csrftoken;
  return config
});

将csrf令牌写入Cookie,是因为:
服务器进行csrf防御校验的时候,是拿用户http请求体中的token参数值和cookie中的csrftoken值进行比对。如果值一样了,操作才被允许执行。所以将CSRF-TOKEN写在COOKIE中符合就CSRF防御思想中的不可预知原则。为什么CSRF Token写在COOKIE里面我们这里设置axios.defaults.withCredentials = false;在跨域请求时,不会携带用户凭证;而是我们把从cookie取来的的csrftoken自定义放到请求头里面
添加后的效果:
在这里插入图片描述

四、拓展:

axios.defaults.headers.post['Content-Type'] = 'application/x-www-fromurlencodeed';
axios.defaults.withCredentials = false;
axios.interceptors.request.use((config) => {
  config.headers['X-Requested-With'] = 'XMLHttpRequest';
  config.headers['X-CSRFToken'] = cookie.parse(document.cookie).csrftoken;
  return config
});

这是使用vue接口请求我们需要添加的一些配置,下面做个介绍:

  • List itemaxios的post请求,默认是application/json提交JSON格式的数据,实际我们后端要求的 ‘Content-Type’: ‘application/x-www-form-urlencoded’ ,这时需要配置content-type:

axios.defaults.headers.post[‘Content-Type’] = ‘application/x-www-fromurlencodeed’;

  • 如果 requestedWith 为 null,则为同步请求。如果 requestedWith 为 XMLHttpRequest 则为 Ajax 请求(异步)。

config.headers[‘X-Requested-With’] = ‘XMLHttpRequest’;

  • withCredentials:默认情况下,跨源请求不提供凭据(cookie、HTTP认证及客户端SSL证明等)。通过将withCredentials属性设置为true,可以指定某个请求应该发送凭据。默认值为false;true:在跨域请求****时,会携带用户凭证;false:在跨域请求时,不会携带用户凭证;返回的 response 里也会忽略 cookie,当配置了 withCredentials = true时,必须在后端增加 response 头信息Access-Control-Allow-Origin,且必须指定域名,而不能指定为*!!!

axios.defaults.withCredentials = false;

VUE django 跨域、csrf令牌问题
qq_41710802的博客
05-30 361
使用VUE django前后分离,跨域跟django CSRF令牌是个很头疼问题,跨域问题解决方法很多,bing一下就有很多这里先略过,主要讲一下令牌用法,取消令牌检测这里有提到。
前后端分离解决CSRF问题
ws_flying的博客
10-22 3380
个人记录,如有错误,敬请指出 项目环境:spring boot+shiro+jwt 简单方式直接通过nginx对Referer进行校验拦截即可,本文不做讲解 1、创建CsrfFilter import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.ht
vue + django 前后端分离开发处理 CSRF
狸吉、的博客
03-19 1230
vue + django + CSRF 前后端分离开发处理CSRFCSRF解决方法前后端未分离时的解决方法前后端分离后的解决方法Django 中的实现Vue 中的实现 CSRF CSRF(Cross Site Request Forgery),跨域请求伪造,挟持用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。 简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经...
Python开发【Django】:中间件、CSRF
abchhcba2014的博客
02-04 331
CSRF 1、概述   CSRF(Cross Site Request Forgery)跨站点伪造请求,举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。   为了避免上面情况的出现,Djang...
Vue实战指南:Vue代码安全,10项防范措施
最新发布
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
09-15 1145
然而,随着应用复杂度的增加,如果不采取适当的措施,可能会引入各种安全漏洞。然而,直接使用用户输入的数据而不做任何处理是危险的。希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。在Vue应用中实现基于角色的访问控制(RBAC)可以限制用户的访问范围,只允许他们执行特定的操作。定期更新项目依赖,确保使用的库是最新的版本,有助于防止因旧版本库中的已知漏洞而受到攻击。一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身农奴把歌唱,
关于前后端分离项目中CSRF等一系列问题的理解小结
MSB4011的博客
07-06 820
CSRF和CORS的问题上搞了这么久,一个是因为平时工作忙,学这些东西陆陆续续的,另外也确实是因为这些个问题一环套一环,想要完全解决掉需要理解并处理很多问题同时,自己对于这个问题最终通过服务端允许跨域+前端保持相同ip的解决方式并不满意,后续将尝试使用Node.js代理的方式来解决问题
解决django前后端分离csrf验证的问题
09-19
今天小编就为大家分享一篇解决django前后端分离csrf验证的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
django前后端分离csrf_token加入
weixin_44854778的博客
03-13 272
1 手动调用 csrf 中的 get_token(request) 或 rotate_token(request) 方法。 from django.middleware.csrf import get_token ,rotate_token def server(request): # 两者选一 get_token(request) # rotate_token(request) // 此方法每次设置新的cookies return render(req
vue前端 django 后端解决csrf问题,亲测有效
追梦小狂魔的博客
04-01 2868
首先是后端,用户访问首页的时候通常不会有csrf问题,在这里添加cookie from django.middleware.csrf import get_token csrf_token = get_token(request) response= render(request, "index.html") response.set_cookie('csrf_token', csrf_token) return response 这样csrf就随着cookie一起过去了 然后是axios的设置 添加请
django+vuecsrf_token传递
旷古的寂寞的博客
05-31 1633
djangovue前端传递csrf_token,可以使用接口传递 from django.middleware.csrf import get_token def get_csrf_token(request): return JsonResponse({'csrf_token': get_token(request) or 'NOTPROVIDED'}) 也可以使用装饰器装饰视图函数,这样csrf_token会被添加到cookie里面,这种方式要注意Domain的配置 from
vue+django前后端分离开发一个商城网站.zip
09-29
在本项目中,“vue+django前后端分离开发一个商城网站.zip”是一个包含了使用Vue.js(前端框架)和Django(后端框架)构建的在线商城的源代码压缩包。Vue.js是一个轻量级、高性能的JavaScript库,适用于构建用户界面...
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。 教你如何在AJAX请求上设置令牌。
vue+Django前后端分离中跨域的问题
m0_45233294的博客
09-02 536
​ 我们通过vue脚手架创建好了一个项目,首先配置Vue请求的基地址: ​ 然后通过访问对应的后台API即可获得相应数据: ​ Django 路由配置: ​ 启动Django服务器,这里要注意的是Django默认的8080与Vue默认服务器的8080端口冲突,因此我们将Django的端口启动在9000. ​ 然而我们请求成功但是并不能得到后台的数据,这是因为跨域的问题django后端允许跨域 ​ 这个包是用来解决django跨域的,这是我最推荐的一种做法,简单,很多语言中,如C#,J
Django+vue前后端分离项目构建
oliver3455的博客
05-30 3814
Django+vue前后端分离项目构建
Vue+Django前后端请求时出现CSRF缺失错误
polaris的博客
09-01 744
最近在做一个项目,选定的是前后端分离开发,后端使用python的Django框架,前端使用Vue.js。在一开始的时候对后端进行编写时,虽然依照RESTFUL规范进行开发的,但是在代码的规范性和美观性上有缺失,所有最近又将其更新为基于类的视图。在前后端进行请求的时候出现了csrf缺失的情况,这是django的跨域访问问题django会对合法的跨域访问做这样的检验,cookies里面存储的csrftoken和POST等headers里面的字段作比较,只有两者匹配,才能通过跨域检验,否则会返回一个错误。
django+vue前后端分离 实现 登录 实践记载
小球的博客
10-12 2221
login 登录 axios
spring-security 前后分离如何获取csrf-token
n_rts的博客
02-16 4327
spingboot+security 前后端分离支持csrf
Flask--CSRFToken保护(前后端分离和不分离的操作)、CORS跨域请求
paul0926的博客
07-03 4758
Flask--CSRFToken保护什么是csrfcsrf具体过程csrf保护实现后端写保护表单提交添加保护自定义错误响应和关闭保护ajax提交 前文: 查看官方文档:http://www.pythondoc.com/flask-wtf/csrf.html#id4 什么是csrf 为什么需要 CSRF? Flask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包...
【深入浅出 Spring Security(八)】前后端分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 4095
前后端分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
django+MySQL+vue+html实现用户登陆注册
05-17
实现用户登陆注册需要以下步骤: 1. 安装 Django 和 MySQL 数据库,并创建一个 Django 项目。 2. 配置 MySQL 数据库信息,在 Django 项目的 settings.py 文件中设置 DATABASES。 3. 创建一个 Django 应用,在应用中定义用户模型,并在 settings.py 文件中设置 AUTH_USER_MODEL。 4. 在应用中创建视图函数和 URL,用于处理用户注册和登陆请求。 5. 使用 Vue 和 HTML 实现用户注册和登陆页面,并通过 Ajax 请求与 Django 后端交互。 下面是具体的实现步骤: 1. 安装 Django 和 MySQL 数据库,并创建一个 Django 项目。 假设你已经安装好了 Django 和 MySQL 数据库,并创建了一个名为 myproject 的 Django 项目。 2. 配置 MySQL 数据库信息,在 Django 项目的 settings.py 文件中设置 DATABASES。 打开 myproject/settings.py 文件,找到 DATABASES 配置项,将其配置为: ```python DATABASES = { 'default': { 'ENGINE': 'django.db.backends.mysql', 'NAME': 'mydatabase', 'USER': 'mydatabaseuser', 'PASSWORD': 'mypassword', 'HOST': 'localhost', 'PORT': '3306', } } ``` 其中,'NAME'、'USER'、'PASSWORD'、'HOST'、'PORT' 分别为你的 MySQL 数据库的名称、用户名、密码、主机地址和端口号。 3. 创建一个 Django 应用,在应用中定义用户模型,并在 settings.py 文件中设置 AUTH_USER_MODEL。 打开终端,进入到 myproject 目录下,执行以下命令创建一个名为 accounts 的 Django 应用: ```bash python manage.py startapp accounts ``` 打开 accounts/models.py 文件,定义用户模型: ```python from django.contrib.auth.models import AbstractUser class User(AbstractUser): pass ``` 这里使用 Django 内置的 AbstractUser 模型,继承它并添加一些额外的字段和方法。 打开 myproject/settings.py 文件,将 AUTH_USER_MODEL 设置为 accounts.User: ```python AUTH_USER_MODEL = 'accounts.User' ``` 这样就成功定义了一个用户模型,并且将其作为认证系统的用户模型。 4. 在应用中创建视图函数和 URL,用于处理用户注册和登陆请求。 打开 accounts/views.py 文件,定义用户注册和登陆的视图函数: ```python from django.shortcuts import render from django.contrib.auth import authenticate, login from django.contrib.auth.decorators import login_required from django.http import JsonResponse from .forms import RegistrationForm, LoginForm def registration(request): if request.method == 'POST': form = RegistrationForm(request.POST) if form.is_valid(): form.save() return JsonResponse({'success': True}) else: return JsonResponse({'success': False, 'errors': form.errors}) else: form = RegistrationForm() return render(request, 'registration.html', {'form': form}) def user_login(request): if request.method == 'POST': form = LoginForm(request.POST) if form.is_valid(): username = form.cleaned_data['username'] password = form.cleaned_data['password'] user = authenticate(request, username=username, password=password) if user is not None: login(request, user) return JsonResponse({'success': True}) else: return JsonResponse({'success': False, 'errors': {'__all__': ['Invalid login credentials']}}) else: return JsonResponse({'success': False, 'errors': form.errors}) else: form = LoginForm() return render(request, 'login.html', {'form': form}) @login_required def home(request): return render(request, 'home.html') ``` 这里使用了 Django 内置的认证系统,authenticate 和 login 函数分别用于验证用户和登录用户。 接下来,打开 accounts/forms.py 文件,定义用户注册和登陆表单: ```python from django import forms from django.contrib.auth.forms import UserCreationForm, AuthenticationForm from django.core.exceptions import ValidationError from django.utils.translation import gettext_lazy as _ from .models import User class RegistrationForm(UserCreationForm): email = forms.EmailField(required=True) class Meta: model = User fields = ('username', 'email', 'password1', 'password2') def clean_email(self): email = self.cleaned_data.get('email') if User.objects.filter(email=email).exists(): raise ValidationError(_('Email already exists')) return email class LoginForm(AuthenticationForm): class Meta: model = User fields = ('username', 'password') ``` 这里使用了 Django 内置的表单类 UserCreationForm 和 AuthenticationForm,分别用于用户注册和用户登陆。 最后,打开 accounts/urls.py 文件,定义 URL 路由: ```python from django.urls import path from . import views app_name = 'accounts' urlpatterns = [ path('register/', views.registration, name='registration'), path('login/', views.user_login, name='login'), path('home/', views.home, name='home'), ] ``` 这里定义了三个 URL 路由,分别用于用户注册、用户登陆和用户主页。 5. 使用 Vue 和 HTML 实现用户注册和登陆页面,并通过 Ajax 请求与 Django 后端交互。 打开 templates/registration.html 文件,定义用户注册页面: ```html {% extends 'base.html' %} {% block content %} <h2>Register</h2> <form id="registration-form"> {% csrf_token %} <div class="form-group"> <label>Username:</label> {{ form.username }} </div> <div class="form-group"> <label>Email:</label> {{ form.email }} </div> <div class="form-group"> <label>Password:</label> {{ form.password1 }} </div> <div class="form-group"> <label>Confirm password:</label> {{ form.password2 }} </div> <button type="submit" class="btn btn-primary">Register</button> </form> <div id="registration-errors" class="text-danger"></div> <script src="https://cdn.jsdelivr.net/npm/axios/dist/axios.min.js"></script> <script> const registrationForm = document.querySelector('#registration-form'); const registrationErrors = document.querySelector('#registration-errors'); registrationForm.addEventListener('submit', (event) => { event.preventDefault(); const formData = new FormData(registrationForm); axios.post('{% url "accounts:registration" %}', formData) .then(response => { if (response.data.success) { window.location.href = '{% url "accounts:home" %}'; } else { registrationErrors.innerHTML = Object.values(response.data.errors).join('<br>'); } }) .catch(error => { console.error(error); }); }); </script> {% endblock %} ``` 这里使用了 Bootstrap 和 Axios,分别用于样式和 Ajax 请求。当用户提交注册表单时,通过 Axios 发送 POST 请求到后端,如果注册成功,则跳转到用户主页,否则在页面上显示错误信息。 打开 templates/login.html 文件,定义用户登陆页面: ```html {% extends 'base.html' %} {% block content %} <h2>Login</h2> <form id="login-form"> {% csrf_token %} <div class="form-group"> <label>Username:</label> {{ form.username }} </div> <div class="form-group"> <label>Password:</label> {{ form.password }} </div> <button type="submit" class="btn btn-primary">Login</button> </form> <div id="login-errors" class="text-danger"></div> <script src="https://cdn.jsdelivr.net/npm/axios/dist/axios.min.js"></script> <script> const loginForm = document.querySelector('#login-form'); const loginErrors = document.querySelector('#login-errors'); loginForm.addEventListener('submit', (event) => { event.preventDefault(); const formData = new FormData(loginForm); axios.post('{% url "accounts:login" %}', formData) .then(response => { if (response.data.success) { window.location.href = '{% url "accounts:home" %}'; } else { loginErrors.innerHTML = Object.values(response.data.errors).join('<br>'); } }) .catch(error => { console.error(error); }); }); </script> {% endblock %} ``` 这里与注册页面类似,通过 Axios 发送 POST 请求到后端,如果登陆成功,则跳转到用户主页,否则在页面上显示错误信息。 打开 templates/home.html 文件,定义用户主页: ```html {% extends 'base.html' %} {% block content %} <h2>Welcome, {{ request.user.username }}!</h2> <p>You are logged in.</p> {% endblock %} ``` 这里只是简单地显示一些欢迎信息。 最后,打开 templates/base.html 文件,定义网站的基础模板: ```html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>{% block title %}My Website{% endblock %}</title> <link rel="stylesheet" href="https://stackpath.bootstrapcdn.com/bootstrap/4.5.0/css/bootstrap.min.css"> </head> <body> <nav class="navbar navbar-expand-lg navbar-light bg-light"> <a class="navbar-brand" href="#">My Website</a> <button class="navbar-toggler" type="button" data-toggle="collapse" data-target="#navbarNav" aria-controls="navbarNav" aria-expanded="false" aria-label="Toggle navigation"> <span class="navbar-toggler-icon"></span> </button> <div class="collapse navbar-collapse" id="navbarNav"> <ul class="navbar-nav"> {% if request.user.is_authenticated %} <li class="nav-item active"> <a class="nav-link" href="{% url "accounts:home" %}">Home <span class="sr-only">(current)</span></a> </li> <li class="nav-item"> <a class="nav-link" href="{% url "logout" %}">Logout</a> </li> {% else %} <li class="nav-item"> <a class="nav-link" href="{% url "accounts:registration" %}">Register</a> </li> <li class="nav-item"> <a class="nav-link" href="{% url "accounts:login" %}">Login</a> </li> {% endif %} </ul> </div> </nav> <div class="container mt-4"> {% block content %}{% endblock %} </div> <script src="https://code.jquery.com/jquery-3.5.1.slim.min.js"></script> <script src="https://cdn.jsdelivr.net/npm/popper.js@1.16.0/dist/umd/popper.min.js"></script> <script src="https://stackpath.bootstrapcdn.com/bootstrap/4.5.0/js/bootstrap.min.js"></script> </body> </html> ``` 这里使用了 Bootstrap 的导航条和响应式布局,根据用户是否已经登录来显示不同的导航链接。 至此,一个简单的 Django+MySQL+Vue+HTML 实现用户登陆注册的 web 应用就完成了。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值