Django框架CSRF免验证

最新推荐文章于 2021-09-14 21:09:18 发布
最新推荐文章于 2021-09-14 21:09:18 发布
阅读量360 收藏
点赞数
分类专栏: Django 文章标签: CSRF验证问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42517220/article/details/89377269
版权

FBV模式

(1)想要某个视图不需要SCRF验证

settings.py

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',  # 全局CSRF验证
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

views.py

from django.views.decorators.csrf import csrf_exempt

@csrf_exempt
def login(request):
	username = request.POST.get('username')
	password = request.POST.get('password')
	code = request.POST.get('code')
	.......
	return xxxxxxxxx

(2)只想要一个视图需要验证CSRF

settings.py

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    # 'django.middleware.csrf.CsrfViewMiddleware',  # 取消全局CSRF验证
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

views.py

from django.views.decorators.csrf import csrf_protect

@csrf_protect
def login(request):
	username = request.POST.get('username')
	password = request.POST.get('password')
	code = request.POST.get('code')
	.......
	return xxxxxxxxx

CBV模式

(1)想要某个视图不需要SCRF验证

settings.py

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',  # 全局CSRF验证
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

views.py

from django.views import View
from django.utils.decorators import method_decorator
from django.views.decorators.csrf import csrf_exempt

class LoginView(View):
	
	@method_decorator(csrf_exempt)
	def dispatch(self, *args, **kwargs):
		return super(LoginView, self).dispatch(request, *args, **kwargs)
	
	def get(self):
		pass

	def post(self):
		pass

或者

from django.views import View
from django.utils.decorators import method_decorator
from django.views.decorators.csrf import csrf_exempt

@method_decorator(csrf_exempt, name='dispatch')
class LoginView(View):

	def get(self):
		pass

	def post(self):
		pass

(2)只想要一个视图需要验证CSRF

settings.py

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    # 'django.middleware.csrf.CsrfViewMiddleware',  # 取消全局CSRF验证
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

views.py

from django.views import View
from django.utils.decorators import method_decorator
from django.views.decorators.csrf import csrf_protect

class LoginView(View):
	
	@method_decorator(csrf_protect)
	def dispatch(self, *args, **kwargs):
		return super(LoginView, self).dispatch(request, *args, **kwargs)
	
	def get(self):
		pass

	def post(self):
		pass

或者

from django.views import View
from django.utils.decorators import method_decorator
from django.views.decorators.csrf import csrf_exempt

@method_decorator(csrf_exempt, name='dispatch')
class LoginView(View):

	def get(self):
		pass

	def post(self):
		pass
FatPuffer
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django--17接口执行履历开发-支持接口认证
摘 月
06-01 253
一、常见的认证类型 1)无须认证 2)HTTP Basic Auth 3)Bearer Token(JWT) 4)Cookie/Session 一般正经的api系统不用、暂不实现二、为接口运行携带认证信息 1)HTTP Basic Auth username password 通过HTTP Header携带2)Bearer Token Token 通过HTTP Header携带3)共通 通过表单手机所需的认证数据三、requests怎么处理? HTTP Basic AuthBearer Token四、主要代
django 1.10 CSRF验证失败的解决过程
weixin_34332905的博客
12-07 358
最近工作闲,没事自学django,感觉这个最烦的就是各版本提供的api函数经常有变化,不是取消了就是参数没有了,网上搜到的帖子也没说明用的是什么版本的django,所以经常出现搬运过来的代码解决不了问题的情况,不过基本上遇到的坑不多,最坑的就是在提交post表单时弄了两天的CSRF验证失败问题,特此记录一下,我用的是django 1.10.3: 如果你不想使用这个功能,直接找到sett...
django基础知识之csrf:
weixin_30483013的博客
06-10 88
csrf 全称Cross Site Request Forgery,跨站请求伪造 某些恶意网站上包含链接、表单按钮或者JavaScript,它们会利用登录过的用户在浏览器中的认证信息试图在你的网站上完成某些操作,这就是跨站攻击 演示csrf如下 创建视图csrf1用于展示表单,csrf2用于接收post请求 def csrf1(request): r...
Django框架(26.Django中的CSRF以及登录装饰器)
Mogul的博客
09-02 251
CSRF简介 CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 CSRF示意图如下: 如果想防止CSRF,首先是重要的信息传递都采用POST...
Django 单个视图函数不进行csrf校验
对于写代码这件事,我是业余的。
03-06 588
注释掉settings.py文件中csrf中间件可以不进行csrf校验,但是只想单个函数不进行csrf校验则需要使用装饰器。 from django.views.decorators.csrf import csrf_exempt @csrf_exempt def xxx(request): ... ... return ... ...
django框架中ajax的使用及避开CSRF 验证的方式详解
09-18
Django框架中,使用Ajax可以实现前端与后端的异步交互,提高用户体验,而CSRF(Cross-site request forgery,跨站请求伪造)验证是Django为了防止恶意第三方模拟用户发送请求的一种安全机制。然而,有些情况下,...
django 取消csrf限制的实例
09-17
Django框架中,CSRF(Cross-site request forgery,跨站请求伪造)是一种重要的安全机制,用于防止恶意第三方在用户浏览器中伪造请求到你的应用。然而,在某些情况下,例如前后端分离的项目或者API接口,你可能...
django-csrf使用和禁用方式
12-20
Django框架中,CSRF保护是默认启用的,以确保只有合法的用户操作才能被执行。以下是对标题、描述和标签内容的详细解释: ### Django CSRF使用 **1. 添加`{% csrf_token %}`到ORM表单** 在Django的模板中,使用`{...
详解DjangoCSRF认证实现
09-20
Django框架内置了CSRF防护机制,通过使用CSRF中间件(CsrfViewMiddleware)来确保POST、PUT、DELETE等修改数据的请求是安全的。DjangoCSRF保护主要分为以下几个步骤: 1. **CSRF中间件**:在Django的设置文件中,...
Django框架学习笔记(22.CSRF原理简单介绍)
一清的博客
12-21 356
前面我们写Django的时候,都要在settings.py里把CSRF注释掉,这里其实是Django提供的一层防护,防止提交的数据含有XSS攻击,只有请求里面含有CSRF令牌(随机字符串)才可以通过,否则会被禁止。这里不注释掉也可以写: action="/login/" method="POST"> {% csrf_token %} type="text" name="use
Common工具类的验证码类的使用(未实现验证)
weixin_30739595的博客
11-25 152
验证码接收 using System; using System.Collections.Generic; using System.Linq; using System.Web; using CZBK.ItcastProject.Common; namespace CZBK.ItcastProject.WebApp._2015_5_29 { /// <sum...
Django--011 DRF-认证和授权
qq_25672165的博客
09-14 340
DRF. 权限管理
django对某个方法关闭csrf验证
qq_43593912的博客
05-16 1791
代码如下: from django.utils.decorators import method_decorator from django.views.decorators.csrf import csrf_exempt @method_decorator(csrf_exempt, name='dispatch') class IndexView(View): # 请求这个方法时不需加csr...
Django Admin去掉认证和授权
小谷同学
07-30 1912
1.去掉认证和授权 2.在admin.py内加入如下代码 from django.contrib.auth.models import Group, User admin.site.unregister(Group) admin.site.unregister(User) 3.页面就会发生变化,简单操作 4.完成
django CRSF的认证和取消认证
g_uiop123的专栏
08-02 961
在使用POST接口的时候经常会出现403的情况,这是CRSF的认证,下面说说CRSF的认证情况 一、在setting中MIDDLEWARE,这儿的加上认证,代表的是全局认证 如果你不想让CSRF在网站里面进行认证,可以直接注释点红色框中的就可以 二、如果这是想让你的函数里面有一个函数不需要认证,就需要引入第三方包,在使用装饰器@csrf_exempt就可以,比如: from django.views.decorators.csrf import csrf_exempt #取消csrf校验 f
django免除csrf校验
热门推荐
qq_42486675的博客
07-15 1万+
django中默认启动csrf校验,当用户发起post请求时,必须携带csrf_token参数。如果不想使用csrf校验时,可以使用以下方式免除校验。以下方式都是在局部中使用,如果想全局禁用时,需要在settings文件中配置,这种方式不推荐使用。
django 实现未经登录验证的url过滤
yiranyaoqiu的专栏
04-06 7018
本人在做一个基于sae的在线学习系统,语言使用的python,w e b
django 同时提交表单和file_Python学习第六十二天记录打call:Django 启用和禁用CSRF功能...
weixin_39872872的博客
12-20 97
1.Django CSRF的原理CSRF(Cross Site Request Forgery)也就是跨站请求伪造,实现的原理是CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的;2.CSRF认证在项目的settings文件中有一个配置项MIDDLEWARE,表示默认Django启用csr...
Day62:Django 启用和禁用CSRF功能
ivenqin的博客
04-28 428
1.Django CSRF的原理 CSRF(Cross Site Request Forgery)也就是跨站请求伪造,实现的原理是CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的; 2.CSRF认证 在项目的settings文件中有一个配置项MIDDLEWARE,表示默认Django启...
django框架下,CSRF verification failed. Request aborted.
最新发布
03-28
Django 框架下,CSRF 验证失败通常是因为在提交表单时,服务器无法验证请求是否来自合法的用户。这可能是因为用户会话过期或被注销,或者跨站点请求伪造攻击。 要解决这个问题,可以在表单中添加一个 CSRF 令牌,以确保服务器可以验证请求是否来自合法的用户。可以使用 Django 的内置 `csrf_token` 模板标签来生成令牌,并将其包含在表单中: ```html <form method="post"> {% csrf_token %} <!-- 表单内容 --> <input type="submit" value="提交"> </form> ``` 另外,如果您正在使用 AJAX 发送 POST 请求,您需要在请求头中包含 CSRF 令牌。可以使用 `jQuery` 来实现这个过程: ```javascript $(document).ready(function() { // 获取 CSRF 令牌 var csrftoken = $("[name=csrfmiddlewaretoken]").val(); // 发送 POST 请求 $.ajax({ type: "POST", url: "your-url", data: { // 请求数据 }, beforeSend: function(xhr) { // 在请求头中添加 CSRF 令牌 xhr.setRequestHeader("X-CSRFToken", csrftoken); }, success: function(response) { // 请求成功后的处理 }, error: function(xhr) { // 请求失败后的处理 } }); }); ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值