Django框架学习笔记(22.CSRF原理简单介绍)

最新推荐文章于 2024-04-12 08:45:12 发布
最新推荐文章于 2024-04-12 08:45:12 发布
阅读量360 收藏
点赞数
分类专栏: Django框架 文章标签: django 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41144008/article/details/78867426
版权

前面我们写Django的时候,都要在settings.py里把CSRF注释掉,这里其实是Django提供的一层防护,防止提交的数据含有XSS攻击,只有请求里面含有CSRF令牌(随机字符串)才可以通过,否则会被禁止。这里不注释掉也可以写:

<form action="/login/" method="POST">
    {% csrf_token %}
    <input type="text" name="user"/>
    <input type="password" name="pwd"/>
    <input type="checkbox" name="rmb" value="1"/>一天内免登录
    <input type="submit" value="登录"/>
</form>


ajax方式(提前配置ajax):

<body>
<form action="/login/" method="POST">
    {% csrf_token %}
    <input type="text" name="user"/>
    <input type="password" name="pwd"/>
    <input type="checkbox" name="rmb" value="1"/>一天内免登录
    <input type="submit" value="登录"/>
    <input id="btn1" type="button" value="按钮"/>
    <input id="btn2" type="button" value="按钮"/>
</form>
<script src="/static/jquery-1.12.4.js"></script>
<script src="/static/jquery.cookie.js"></script>
<script>
    $(function(){
        $.ajaxSetup({
            beforeSend:function(xhr,settings){
                xhr.setRequestHeader('X-CSRFtoken',$.cookie('csrftoken'))
            }
        });
        $('#btn1').click(function () {
            $.ajax({
                url: '/login/',
                type: 'POST',
                data: {'user': 'root', 'pwd': '123'},
                success:function(arg){
                }
            })
        });
        $('#btn2').click(function () {
            $.ajax({
                url: '/login/',
                type: 'POST',
                data: {'user': 'root', 'pwd': '123'},
                success:function(arg){
                }
            })
        })
    })
</script>
</body>


views.py里面也可以设置是否使用CSRF:


当全局设置了CSRF时候,这样可以取消:

from django.views.decorators.csrf import csrf_exempt, csrf_protect
@csrf_exempt
def index(request):
    if request.session.get('is_login', None):
        return render(request, 'index.html', {'username': request.session['username']})
    else:
        return HttpResponse('错误')

当全局没有设置CSRF时候,这样可以添加:

from django.views.decorators.csrf import csrf_exempt, csrf_protect
@csrf_protect
def index(request):
    if request.session.get('is_login', None):
        return render(request, 'index.html', {'username': request.session['username']})
    else:
        return HttpResponse('错误')



__XYQ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django框架详解
03-27
django框架详细............................................................................................................
Django学习笔记
10-17
本篇笔记主要介绍了如何从零开始学习Django,通过实践来理解其基本原理。 首先,安装Django是入门的第一步。在命令行环境中,使用Python的包管理工具pip安装指定版本的Django,例如Django 1.10。安装完成后,可以...
django基础知识之csrf:
weixin_30483013的博客
06-10 91
csrf 全称Cross Site Request Forgery,跨站请求伪造 某些恶意网站上包含链接、表单按钮或者JavaScript,它们会利用登录过的用户在浏览器中的认证信息试图在你的网站上完成某些操作,这就是跨站攻击 演示csrf如下 创建视图csrf1用于展示表单,csrf2用于接收post请求 def csrf1(request): r...
Django CSRF 简述
weixin_34087503的博客
09-06 87
CSRF(Cross-site request forgery),中文名称是跨站请求伪造。什么意思呢?简单的说,就是用户在网站A登录之后,网站生成了对应的Cookie等信息,然后这个时候,用户又打开了网站B,网站B可以在提交表单的时候,指定对象的地址为网站A,这样就对网站A提出了一个请求。为了避免这种恶意请求,一般的方法是在客户端生成一个Token,每次提交来的请求,服务器都会验证这个Token之...
django csrf工作原理
杨佳佳的博客
08-01 848
参考链接地址:https://yiyibooks.cn/xx/Django_1.11.6/ref/csrf.html 一个基于随机secret值的CSRF cookie,其它站点无法获取到。 此Cookie由CsrfViewMiddleware设置。 它和每个响应一起发送,如果请求上没有设置,则调用django.middleware.csrf.get_token()(这个函数用于内部获取...
Django框架----工作原理
pengwei19880420的博客
03-25 2855
MTV模式:视图层是模板和模型的“桥梁”。 模型层(model) 对于web应用中的数据进行构建和操作。 视图层(view) 封装处理用户的请求与返回的响应逻辑。 模板层(template) 提供设计友好的语法来展示信息给用户。 表单(froms) 提供一个丰富的框架来创建表单和操作表单。 1、用manage.py...
django复习笔记:一个简单的文件分享系统
04-05
在这个笔记中,我们将深入探讨如何使用Django框架构建一个基础的文件分享系统。Django是一个高级的Python Web框架,它鼓励快速开发并注重代码的可读性。对于初学者和经验丰富的开发者来说,都是一个极好的选择。 ...
django搭建的在线js学习网站.zip
09-28
在这个项目中,我们将深入探讨如何使用Python的Django框架构建一个在线JavaScript学习平台。Django是一个功能强大的Web开发框架,它提供了一整套工具来帮助开发者快速、高效地构建高质量的Web应用。下面,我们将详细...
Python_Study Notes For Web Hacking Web安全学习笔记.zip
05-24
总的来说,这份学习笔记提供了从基础到进阶的Python Web安全知识体系,适合对Web安全感兴趣或者希望提升自己安全技能的开发者。通过深入学习和实践,你不仅可以理解Web安全的原理,还能掌握实际的防护和攻击技巧。
python,flask,django,学生作业.zip
最新发布
06-14
这份“Python, Flask, Django, 学生作业.zip”压缩包显然是一个学生的学习资源,旨在帮助深入理解Python编程,以及Flask和Django框架的运用。 首先,Python作为一门高级编程语言,以其简洁明了的语法和强大的库支持...
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。 教你如何在AJAX请求上设置令牌。
Django框架设计原理
brucexia的专栏
04-12 638
不过从严格意义上讲,Django框架采用了一种更为特殊的MTV设计模式,其中的“M”代表模型(Model),“T”代表模板(Template),“V”代表视图(View)。这样做的好处就是将设计人员从烦琐的控制层逻辑中解脱出来,通过编写更少的代码来实现用户需求,而控制层逻辑交由Django框架底层自动去完成,从而大大地提高了设计人员的开发效率。模板接收用户输入后交由视图去处理,视图负责连接模型进行数据操作,并将操作结果传递给模板进行展示,以上就是Django框架所设计的MTV模式的基本工作原理
python的django框架是干嘛的_Python+Django框架 全方面原理
weixin_39986435的博客
11-28 506
1 简述Django请求生命周期一般是用户通过浏览器向我们的服务器发起一个请求(request),这个请求回去访问视图函数,(如果不涉及到数据调用,那么这个时候视图函数返回一个模板也就是一个网页给用户),视图函数调用模型,模型去数据库查找数据,然后逐级返回,视图函数把返回的数据填充到模板中空格中,最后返回网页给用户。#1.wsgi,请求封装后交给web框架 (Flask、Django)#2.中间件...
Django框架实现的基本原理
a1137588003的博客
08-11 450
cross-site request forgery是跨站请求伪造。1.cookie中储存信息未过期 2.B网站向A网站请求数据 修改密码泄露信息访问A信任网站 —————————————— 访问B恶意网站 —————————————— C恶意网站 ————————————3.A网站会发送信息给B网站 4.导致来自C网站的恶意代码攻击 导致信息财产安全遭受威胁在post请求时是安全的 form表单或者文件传输和ajax里面添加csrf_token,csrf服务器端开启CSRF中间件进行验证。
框架Django原理及基础一
weixin_49722641的博客
10-22 906
框架: framework DRP原则: Don’t repeat yourself 特指为解决一个开放性问题而设计的具有一定约束性的支撑结构,使用框架可以快速开发特定系统。去除重复部分 web应用的流程: //浏览器发送一个HTTP请求 //服务器收到请求,生成一个HTML文档 //服务器把HTML文件作为HTTP响应的BODY发送给浏览器 //浏览器最终受到HTTP响应,从BODY中读取HTML文件并显示 对于所有的Web应用,本质是一个socket服务端,用户的浏览器是一个socket客户端。 im
Django Migrate 框架原理分析
架构师的成长之路的博客
02-07 793
Django 框架简介 一句话介绍Django 是用来写网站。 Django的主要目的是简便、快速的开发数据库驱动的网站。它强调代码复用,多个组件可以很方便的以“插件”形式服务于整个框架,Django有许多功能强大的第三方插件,你甚至可以很方便的开发出自己的工具包。这使得Django具有很强的可扩展性。它还强调快速开发和DRY(Do Not Repeat Yourself)原则。 官方文档描述: Django 最初被设计用于具有快速开发需求的新闻类站点,目的是要实现简单快捷的网站开发。 ..
Django框架(26.Django中的CSRF以及登录装饰器)
Mogul的博客
09-02 255
CSRF简介 CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 CSRF示意图如下: 如果想防止CSRF,首先是重要的信息传递都采用POST...
Django框架全面讲解 -- 跨站请求伪造(csrf
qq_34802511的博客
08-04 255
Django框架全面讲解 -- 跨站请求伪造(csrfdjango为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。 全局: 中间件 django.middleware.csrf.CsrfViewMiddleware   局部: @...
Django框架CSRF免验证
FatPuffer
04-18 370
FBV模式 (1)想要某个视图不需要SCRF验证 settings.py MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.Commo...
from django.views.decorators.csrf import csrf_exempt
05-17
`csrf_exempt` 是一个 Django 装饰器,用于标记一个视图函数,表示在处理该视图函数的 POST 请求时,不需要进行 CSRF 校验。 CSRF(Cross-site request forgery)跨站请求伪造,是一种常见的网络攻击方式。攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值