django免除csrf校验

最新推荐文章于 2024-04-12 04:13:46 发布
最新推荐文章于 2024-04-12 04:13:46 发布
阅读量1w 收藏 5
点赞数 1
分类专栏: Django 文章标签: python django csrf 中间件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42486675/article/details/107356485
版权

免除csrf校验

在django中默认启动csrf校验,当用户发起post请求时,必须携带csrf_token参数。如果不想使用csrf校验时,可以使用以下方式免除校验。以下方式都是在局部中使用,如果想全局禁用时,需要在settings文件中配置,这种方式不推荐使用。

一、函数免除csrf校验

from django.views.decorators.csrf import csrf_exempt# 免除csrf校验@csrf_exempt
def users(request):    
	uses_list = ["柚子", "西瓜"]    
	return HttpResponse(json.dumps(uses_list))

二、对类免除csrf校验

  1. 第一种方式
    # dispatch是类视图的根方法,通过dispatch进行反射找到其他请求

from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator
class StudentsView(View):
    """student view"""
	@method_decorator(csrf_exempt)
    def dispatch(self, request, *args, **kwargs):
        print("before")
        ret = super(StudentsView, self).dispatch(request, *args, **kwargs)
        print("after")
        return ret(request, *args, **kwargs)
    
    def get(self,*args,**kwargs):
        return HttpResponse("get")

    def post(self,*args,**kwargs):
        return HttpResponse("post")

    def put(self,*args,**kwargs):
        return HttpResponse("put")

    def delete(self,*args,**kwargs):
        return HttpResponse("delete")
  2. 第二种方式
    from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator

@method_decorator(csrf_exempt,name="dispatch")
class StudentsView(View):
    """student view"""

    def get(self,*args,**kwargs):
        return HttpResponse("get")
  3. 第三种方式
    from django.views.decorators.csrf import csrf_exempt
class MyBaseView(object):
    @csrf_exempt
    def dispatch(self, request, *args, **kwargs):
        print("before")
        ret = super(MyBaseView, self).dispatch(request, *args, **kwargs)
        print("after")
        return ret
  4. 第四种,在url中添加
    from django.views.decorators.csrf import csrf_exempt
urlpatterns = [
    path('teachers/', csrf_exempt(TeachersView.as_view()), name="teachers"),
]
一个正经程序员
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
django 取消csrf限制的实例
09-17
有些博客建议用它替代`CsrfViewMiddleware`,但这样可能会导致CSRF保护失效,因为`CorsPostCsrfMiddleware`并不提供预期的CSRF校验功能。 为了使前端能够正确获取CSRF Token,你可以在登录成功后,通过JSON响应将...
4.1.python第四章:Django高级
eleven的博客
10-23 215
Django高级应用 Cookie Cookie的原理 Cookie是由服务器产生,存储在浏览器中的键值对数据 每个域名的Cookie都相对独立 浏览器访问域名为A的erl地址,会把A域名下的Cookie一起传到服务器 Cookie可以设置过期时间 Cookie的设置和获取 cookie的设置: response = HttpResponse() response.set_cookie([key],[value],max_age=60*60) return response 注
彻底关闭djangocsrf认证
m0_52513940的博客
01-01 607
将该文件插入settings.py。
访问网址 token的格式_Django使用Pyjwt、restframework、restframeworkjwt 生成token
weixin_39639049的博客
11-20 233
Token在移动端开发或者前后端分离开发时,我们会经常用到token(令牌)来验证并保留登录状态,通过向登录接口以post请求方式来发送登录表单获取token,将token保存到本地,并在请求需要身份认证的 url 时,将token放到请求头中就可以直接访问,不用再登录。token生成的方法有很多种,我们这里不关注具体的生成算法,只是关注功能性实现。注意事项需要有一定的django基础,...
django如何阻止CSRF的使用
Colinspace
11-23 992
CSRF 是指跨站请求伪造,跨站请求伪造的问题在于,服务器信任来自客户端的数据如果没有 CSRF 面临的风险是:跨站请求伪造是指攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息。
Django解除单个视图csrf防御
qq_35526165的博客
08-01 427
简介: 跨站请求伪造(CSRF)和 XXS一样具有危害性,通过伪装来自受信任用户的请求来利用受信任的网站,如:攻击者盗取你的身份,通过http请求将数据发送到服务器(服务器认为这个请求是合法的),获取会话的cookie,从而盗取用户信息。 关闭单个类视图csrf url.py from django.views.decorators.csrf import csrf_exempt path('r...
Django csrf 的源码解析(DRF会避开 csrf 因为其类 APIView 继承了Django框架的 View 并重写了 as_view 方法)
cpxsxn的博客
08-15 558
本文要说明一个问题: Django 后端什么时候会让前端在 cookie 中的写 crsftoken? 是每次请求都会写一个新的 crsftoken 吗? C:\Python27\Lib\site-packages\django\middleware\csrf.py def _sanitize_token(token): # Allow only alphanum if le...
django-csrf使用和禁用方式
12-20
Django CSRF(跨站请求伪造)是Web应用中一种安全机制,用于防止恶意第三方伪造用户的请求。在Django框架中,CSRF保护是默认启用的,以确保只有合法的用户操作才能被执行。以下是对标题、描述和标签内容的详细解释:...
详解DjangoCSRF认证实现
09-20
1. **CSRF中间件**:在Django的设置文件中,`MIDDLEWARE_CLASSES` 列表中包含 `'django.middleware.csrf.CsrfViewMiddleware'`,这个中间件会在每个请求处理流程中发挥作用。 2. **生成CSRF token**:当用户访问...
django 取消csrf限制
chen1042246612的博客
01-24 3132
# 导入包 from django.views.decorators.csrf import csrf_exempt # 使用装饰器即可避免csrf限制 @csrf_exempt def add_bookshelf(request): user_id = request.POST.get('user_id') print(user_id) return Htt...
django 类取消csrf_Django搭建个人博客:用户的注册
weixin_39531688的博客
11-29 155
既然有登录登出,那么用户的注册肯定也是少不了的。注册表单类用户注册时会用到表单来提交账号、密码等数据,所以需要写注册用的表单/userprofile/forms.py:/上一章也讲过,对数据库进行操作的表单应该继承forms.ModelForm,可以自动生成模型中已有的字段。这里我们覆写了password字段,因为通常在注册时需要重复输入password来确保用户没有将密码输入错误,所以覆写掉它以...
Django取消CSRF限制
Tomonkey的专栏
06-04 1956
在前后端分离的时候,前端请求时接口中请求头没有CSRF token,然后就报错了 Reason given for failure: CSRF token missing or incorrect. In general, this can occur when there is a genuine Cross Site Request Forgery, or when Django's CSRF mechanism has not been used correctly. For
django-关于取消csrf验证的问题
hao_sir
03-21 824
使用装饰器 @csrf_exempt def register(request): username = request.POST['username'] password = request.POST['password'] ........ 取消单个视图函数的csrf验证 path('register/', csrf_exempt(RegisterView.as_view())), 注销掉CsrfViewMiddleware这个中间件 MIDDLEWARE = [ .
Django解除单个方法的csrf验证
王帅的博客
03-09 1519
今天在处理公司官网时,请求后台的单独某个方法不想使用csrf验证进行数据的访问 方法如下: 在url.py文件中修改设置路由 修改前: from django.urls import path from . import views urlpatterns = [ path('publisher-warranty/', views.publisher_warranty, ...
django避免csrf_token验证
ZCR73的博客
05-18 546
将所有的csrf_token验证都关闭是不安全的,因此考虑views.py文件中对单个函数关闭csrf_token验证。首先import关闭csrf_token验证的函数。
Django中使用Ajax及避开CSRF 验证的方式详解_django ajax csrf豁免
最新发布
2401_84247341的博客
04-12 243
异步javascript和XML。本文实例讲述了django框架中ajax的使用及避开CSRF 验证的方式。
django rest framework 消除csrf报错
jaket5219999的博客
03-20 781
前后端分离开发时,有个对外接口报了403,响应内容如下: {"detail":"CSRF Failed: CSRF token missing or incorrect."} 解决: class MyView(APIView): authentication_classes = () permission_classes = () 参考: Django Rest Framework remove csrf - 漫漫字节|漫漫编程 ...
django注释中间件仍无法关闭CSRFCSRF token missing
qdulgh的专栏
07-25 963
第一个方法:在setting中注释中间件 django.middleware.csrf.CsrfViewMiddleware,不起作用,仍然报错;第二个方法:在函数上加了@csrf_exempt 免除csrf装饰器,也不起作用;SessionAuthentication具有强制的csrf检查,但Basic......
django CRSF的认证和取消认证
g_uiop123的专栏
08-02 964
在使用POST接口的时候经常会出现403的情况,这是CRSF的认证,下面说说CRSF的认证情况 一、在setting中MIDDLEWARE,这儿的加上认证,代表的是全局认证 如果你不想让CSRF在网站里面进行认证,可以直接注释点红色框中的就可以 二、如果这是想让你的函数里面有一个函数不需要认证,就需要引入第三方包,在使用装饰器@csrf_exempt就可以,比如: from django.views.decorators.csrf import csrf_exempt #取消csrf校验 f
django关闭CSRF
07-17
csrf_exempt是Django中的一个装饰器,用于跳过请求中的CSRF检查。在视图函数中使用csrf_exempt装饰器后,该视图将不会受到DjangoCSRF保护机制的限制。这意味着POST、PUT、DELETE等请求将不被拒绝或抛出异常。但这也可能增加应用程序的安全漏洞,因此应该谨慎使用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值