Django中使用Ajax及避开CSRF 验证的方式详解

最新推荐文章于 2022-11-23 22:28:09 发布
最新推荐文章于 2022-11-23 22:28:09 发布
阅读量396 收藏 4
点赞数 1
分类专栏: # Django项目实战 文章标签: ajax django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36581961/article/details/113738639
版权

文章目录

ajax(Asynchronous Javascript And Xml)异步javascript和XML。本文实例讲述了django框架中ajax的使用及避开CSRF 验证的方式。
ajax的优点

  • 使用javascript技术向服务器发送异步请求
  • ajax无须刷新整个页面;
  • 由于ajax响应的是局部页面,因此性能要高

向服务器发送GET请求

views.py

from django.http import HttpResponse
from django.shortcuts import render


def get_html(request):
    return render(request, 'ajax/test_ajax.html')


def test_ajax_get(request):
    name = request.GET.get("name", '')
    print(name)
    if name:
        res = {"code": "200", "msg": "√"}
    else:
        res = {"code": "000", "msg": "请输入用户名"}
    import json
    return HttpResponse(json.dumps(res))  # 向ajax发送json数据

html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<hr>
<h1>登录</h1>
<p>用户名:<input type="text" id="user"> <span class="error"></span></p>
<script src="/static/js/jquery-3.2.1.min.js">
</script>
<script>
    $("#user").blur(function () {   //鼠标失去焦点事件
        $.ajax({
            url: "/ajax_test/get_/",
            type: "get",
            data: {"name": $("#user").val()},
            success: function (data) {
                console.log(data);
                console.log(typeof data);
                var data = JSON.parse(data); //接收传来的信息,进行反序列化,这里JSON要输入大写否则出不来
                console.log(data);
                console.log(typeof data);
                if (data.code == "200") {
                    $(".error").html(data.msg).css("color", "green") //这里的css样式是以,隔开的
                }
                else{
                    $(".error").html(data.msg).css("color", "red") //这里的css样式是以,隔开的
                }
            }
        })
    });
</script>
</body>
</html>

向服务器发送POST请求

以post的方式提交,存在crsf的问题,解决跨域伪造csrf的方法有三种

CSRF 简介
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。攻击者通过 HTTP 请求江数据传送到服务器,从而盗取回话的 cookie。盗取回话 cookie 之后,攻击者不仅可以获取用户的信息,还可以修改该 cookie 关联的账户信息。
所以解决 CSRF 攻击的最直接的办法就是生成一个随机的 csrftoken 值,保存在用户的页面上,每次请求都带着这个值过来完成校验。

通过 csrf_token 认证

方式 1 通过 input 标签获取

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<hr>
<h1>登录</h1>
<input type="text" name="csrfmiddlewaretoken" value="{{ csrf_token }}" hidden>
<p>用户名:<input type="text" id="user"> <span class="error"></span></p>

<script src="/static/js/jquery-3.2.1.min.js">
</script>
<script>
    // var csrf_token = $('[name="csrfmiddlewaretoken"]').val();
    //下面改成post请求如何避免crsf错误呢
    $("#user").blur(function () {
        $.ajax({
            url: "/ajax_test/post_/",
            type: "post",
            data: {
                "name": $("#user").val(),
                "csrfmiddlewaretoken": $('[name="csrfmiddlewaretoken"]').val(),
                // "csrfmiddlewaretoken": "{{csrf_token}}" // 直接也可以
            },

            success: function (data) {
                console.log(data);
                console.log(typeof data);
                var data = JSON.parse(data);
                console.log(data);
                console.log(typeof data);
                if (data.code == "200") {
                    $(".error").html(data.msg).css("color", "green") //这里的css样式是以,隔开的
                }
                else {
                    $(".error").html(data.msg).css("color", "red") //这里的css样式是以,隔开的
                }
            }
        })
    });
</script>
</body>
</html>

方式 2 通过 Cookie 获取

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<hr>
<h1>登录</h1>
<input type="text" name="csrfmiddlewaretoken" value="{{ csrf_token }}" hidden>
<p>用户名:<input type="text" id="user"> <span class="error"></span></p>

<script src="/static/js/jquery-3.2.1.min.js">
</script>
<script> 
    //下面改成post请求如何避免crsf错误呢
    $("#user").blur(function () {
        $.ajax({
            url: "/ajax_test/post_/",
            type: "post",
            data: {
                "name": $("#user").val(),
                headers: {"X-CSRFToken": $.cookie('csrftoken')},  //方式三
            },
            success: function (data) {
                console.log(data);
                console.log(typeof data);
                var data = JSON.parse(data);
                console.log(data);
                console.log(typeof data);
                if (data.code == "200") {
                    $(".error").html(data.msg).css("color", "green") //这里的css样式是以,隔开的
                }
                else {
                    $(".error").html(data.msg).css("color", "red") //这里的css样式是以,隔开的
                }
            }
        })
    });

</script>
</body>
</html>

视图层或者urls添加装饰器

views.py

from django.views.decorators.csrf import csrf_exempt  # 导入
@csrf_exempt
def test_ajax_post(request):
    name = request.POST.get("name", '')
    print(name)
    if name:
        res = {"code": "200", "msg": "√"}
    else:
        res = {"code": "000", "msg": "请输入用户名"}
    import json
    return HttpResponse(json.dumps(res))  # 向ajax发送json数据

或者urls.py

from django.urls import path
from django.views.decorators.csrf import csrf_exempt  # 导入
from ajax import views

urlpatterns = [
    path('post_/', csrf_exempt(views.test_ajax_post)),
]
liuwangleoooO
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
django框架ajax使用避开CSRF 验证方式详解
09-18
主要介绍了django框架ajax使用避开CSRF 验证方式,结合实例形式分析了Django框架ajax后台交互与排除验证csrf相关操作技巧,需要的朋友可以参考下
django csrf_token实现与屏蔽
FourLeafCloverLLLS的博客
12-09 2194
django可以通过间件实现csrf_token, 也可以屏蔽csrf_token, 至于实现原理, 我不太清楚, 我做项目的原则是先会使用, 然后再慢慢深入原理,先说说全局使用django全局的间件在setting.py文件, 所谓全局就是指django架构的所有视图和类都得执行的操作, 比如在全局间件使用csrf_token认证, 则整个架构都得满足, 反之, 架构所有内容...
Django 024】间件Middleware(三):Django自带csrf间件源码分析以及跳过csrf报错的四种方法
T型人小付的博客
04-17 839
Django作为一个重量级框架,其已经事先为我们内置了很多安全模块,CSRF间件就是其之一。那么究竟什么是CSRF,其间件工作原理是怎样的,我们又应该如何去使用CSRF呢。这一篇文章我们一起来深入学习一下。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录什么是CSRFCSRF的防范策略Django的...
Django使用Ajax使用CSRF保护
silent_missile的博客
11-05 751
Django使用Ajax使用CSRF保护需要服务器设置CSRF的相关选项。并且在客户端读取特定的信息,然后采用特定的格式发送给服务器才能正确处理。
django免除csrf校验
热门推荐
qq_42486675的博客
07-15 1万+
django默认启动csrf校验,当用户发起post请求时,必须携带csrf_token参数。如果不想使用csrf校验时,可以使用以下方式免除校验。以下方式都是在局部使用,如果想全局禁用时,需要在settings文件配置,这种方式不推荐使用
Django如何写Ajax请求及CSRF认证
中国小宝
11-18 2183
最近下雨没有去学车,无聊在学习django,记录一下。两个内容:Ajaxcsrf。是post请求就要进行csrf验证,get请求则就不需要。如果不清楚csrf_token的使用,就会遇到“django csrf token missing or incorrect”的错误。 一、Ajax请求 1.1 GET请求的Ajax 路由url.py配置: ## Django ur...
Djangoajax发送post请求 报403错误CSRF验证失败解决方案
09-18
主要介绍了Djangoajax发送post请求 报403错误CSRF验证失败解决方案,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Django使用间键实现csrf认证详解
01-01
Djangocsrf认证实现的原理 调用 process_view 方法 检查视图是否被 @csrf_exempt (免除csrf认证) – 去请求体或cookie获取token 情况一(全站使用csrf认证,局部不想使用csrf认证) MIDDLEWARE = [ '...
Django之Form表单验证Ajax验证方式汇总
10-15
源码包括: 1、django的原生Form表单数据验证。 2、Ajax方式的Form表单数据验证
django使用ajax提交需要csrf,DjangoAjax提交数据的CSRF问题
weixin_30338049的博客
08-06 634
错误信息:Forbidden (CSRF token missing or incorrect.):什么是CSRFdjango为用户实现防止跨站请求伪造的功能,通过间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django设置防跨站请求伪造功能有分为全局和局部。全局:间件 django.middleware.csrf.CsrfVie...
安全开发 | 如何让Django框架CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。 教你如何在AJAX请求上设置令牌。
DjangoCSRF使用ajax请求接口时问题总结
Colinspace
11-23 1143
总结Django的常规使用CSRF的情况,以及如何在AJAX 请求后端接口的时候,使用 CSRF
Ajax以及crsf的校验
NQ31
10-11 172
JSON 注意:json必须是双引号,不能是单引号,否则会报错。如:{“name":"json","sex":"男"} Ajax 本质:是一种利用现有技术的新方法。具有局部刷新,异步请求的优点 Ajax的语法: $('#btn').click(function () { $.ajax({ url:'',//请求url,不写的话,默认是当前页面 ...
CSRF检测的两种方法
Later_future的博客
05-17 8920
CSRF检测的两种方法 方法1:CSRFTester-1.0 使用工具注意事项: run.batjdk的目录按当前电脑路径自行更改点击run.bat才可使用 关于浏览器进行代理问题须是HTTP的代理,在CSRFTester才接收的到 功能略显不足,在部分测试页面抓取的表单不能修改参数 这里使用metinfo5.3.1成功进行了工具的使用研究 1.登录metinfo5.3.1的后台创建test用户并使CSRFTester进行监听 2.停止监听,找到对应的请求进行参数修改这里创建了一个fu
安全认证CSRF
梁老师教你编程序
10-26 2040
正常的访问时,客户端浏览器能够正确得到并传回这个伪随机数,而通过CSRF传来的欺骗性攻击,攻击者无从事先得知这个伪随机数的值,服务端就会因为校验token的值为空或者错误,拒绝这个可疑请求。而,跨域转发,是没有这个过程的。这个图说明,在浏览器向服务端请求页面时,服务端将自己生成的token,返回给了浏览器,然后在发送post的时候,浏览器就带有了token。如果是,第三方网站跳转过去,就是直接操作的界面,就算是有了cookie,认证通过了,但是因为没有这个请求字段,所以操作是无法成功的。
django 取消检查csrf
weixin_33901843的博客
06-27 179
这两天一直在研究如何把百度的ueditor应用到django,最大的问题就是如何上传图片。一直失败,失败显示: POSThttp://192.168.182.131:8000/p_w_picpath/p_w_picpathUp403 (FORBIDDEN) 后来发现是csrf的问题导致,至于什么是csrf,看官们搜一下,一定会比我这个半生不熟的人在这里胡扯的好。 ...
Django AJAX csrf
anzhang5248的博客
08-08 90
1、原始 a、在HTML添加 {% csrf_token %} b、在data添加csrf_token对应input的 键值对 "csrfmiddlewaretoken" : $("[name='csrfmiddlewaretoken']").val() 2、保存到一个JS文件,并像JQuery一样引用即可 function getCookie(nam...
crsf验证
weixin_45578684的博客
06-16 91
crsf
Django项目使用的前端框架
qq_36581961的博客
01-28 6513
文章目录jQueryBootstrapBootswatchpureMaterializecssBluma 在项目开发为了加快开发速度,提高研发效率,前端部分我们不会使用原生的技术去实现,往往会使用一些前端框架,前端有许多的框架,它们适配于不同的产品,我们会结合自身所需去考虑框架的选择。本篇就探索一下django的快速开发,我们可以使用那些前端的框架。 jQuery jQuery是一个高效、精简并且功能丰富的 JavaScript 工具库。它提供的 API 易于使用且兼容众多浏览器,这让诸如 HTML 文
djangocsrf
最新发布
03-31
CSRF(Cross-Site Request Forgery)是一种网络攻击方式,攻击者通过伪造用户请求,在用户不知情的情况下完成一些非法操作,如删除、修改等。为了防止这种攻击,Django引入了CSRF保护机制。 CSRF保护机制的原理是,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值