django08--跨域请求伪造和AJAX

最新推荐文章于 2023-11-24 20:50:48 发布
最新推荐文章于 2023-11-24 20:50:48 发布
阅读量197 收藏 1
点赞数
分类专栏: 外部开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42664045/article/details/88133363
版权

5,跨域请求伪造

post请求需要对后台产生副作用,所以需要跨域请求伪造的方法。,因为我们的django框架,
默认帮我们开启了这个验证,如果说验证不能通过就会报403错误。
默认开启是在settings中启用了,csrf的中间件。

MIDDLEWARE = [

      # csrf_token中间件

       'django.middleware.csrf.CsrfViewMiddleware',

]
两种解决方案:
1.在form表单增加{% csrf_token %}
2.在视图函数上加装饰器

from django.views.decorators.csrf import csrf_exempt

@csrf_exempt

6,AJAX(Asynchronous Javascript And XML)

是指一种创建交互式网页应用的网页开发技术
不是一种新的技术,而是一种新的实施方案,包括的技术有js,xml,json,css等
使用场景:局部刷新

通用的ajax请求方式
        $.ajax({
              type: 'POST',
                    dataType: 'JSON',
                    url: '/myblog/jsontest/',
                    success: function(data){
                        alert(data['name'])
               }
        })
        
        $.POST('POST',
               'JSON',
               '/myblog/jsontest/',
               function(data){
                        alert(data['name'])
               }
        )
        
        $.GET(
              'POST',
               'JSON',
               '/myblog/jsontest/',
               function(data){
                        alert(data['name'])
               }
        ) 

 

 

返回数据的json格式
   第一种数据获取及传输

           1.获取到的是模型对象:user = models.Users.objects.get(pk=1)

           2. 转json用:user = model_to_dict(user))

           3.传输的时候用:return JsonResponse(user)

          页面上解析

           success: function(data){

               alert(data.name)

            }


        第二种数据传输及获取
            获取数据并做序列化
            users = models.Users.objects.all()
            序列化方式转json
            users = serialize('json', users)
            print(users)
            传输的时候用return HttpResponse(users)
            页面解析:
                 success: function(data){
                                        alert(data[1]['fields']['name']);
                                        alert(typeof(data))                         

   }

 views.py文件内容

# AJAX
from django.http import JsonResponse
from django.forms.models import model_to_dict
@csrf_exempt
def jsontest(request):
    u = models.User.um.get(id=7)
    u = model_to_dict(u)
    return JsonResponse(u)

 前端HTML内容

<!--AJAX-->
<button id="user" onclick="">获取单个user</button>
<script src="/static/myblog/js/lib/jquery-2.1.4.js"></script>
<script>
    $(function(){
        $("#user").click(function(){
            $.ajax({
                type:"post",
                dataType:"JSON",
                url:"/myblog/jsontest/",
                success:function(data){
                    alert(data['name'])
                }
            })
        })

    })
</script>

 子模块urls内容

urlpatterns = [
   url(r'^jsontest/$', views.jsontest)
]

 

木子水心
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全开发之CSRF(跨域请求伪造
XZ85201的博客
05-20 1311
概念:CSRF(Cross Site Request Forgery)跨域请求伪造,顾名思义,是在跨域的基础上利用伪造请求而达成的一种攻击手段。
跨站请求伪造(CSRF)
jkzyx123的博客
07-14 939
目标网站会误认为该请求是合法的用户行为,并执行相应的操作。恶意请求执行:受害者在浏览器中打开了恶意页面后,其中的自动执行的请求会被发送到购物网站。由于浏览器会自动携带受害者的身份验证凭证,购物网站会误以为这是合法的请求,并执行购买商品的操作。CSRF(Cross-Site Request Forgery)跨站请求伪造是一种常见的网络安全攻击,它利用用户在已经登录的网站上的身份验证信息来执行恶意操作。攻击者构造恶意页面:攻击者创建一个恶意网页,其中包含一个自动执行的请求,向购物网站发送一个购买商品的请求。
CSRF跨域请求伪造
Author_CHEN的博客
08-31 1421
CSRF跨域请求伪造 经了解,还是有很多系统没有针对该攻击做防御措施。即便如此,并不建议、推荐抑或是鼓励大家使用该方式攻击别人的网站、系统或App等。 攻击行为可能触犯刑法破坏计算机信息系统罪或其他罪。 CSRF跨域请求伪造 一、简介 二、举例 三、常用防御方式 1. session防御 2. 人工防御 3. 配置cookie的Same-Site 1. Strict 2. Lax 3. None 4. 服务端防御 四、拓展 一、简介 CSRF(Cross Site Request Fo
Django框架之csrf跨站请求
最新发布
qq_53842456的博客
11-24 632
csrf校验是一种用于防止跨站请求伪造(Cross-Site Request Forgery)攻击的安全措施。
Spring Security实战(七)—— 跨域请求伪造的防护及单点登录
weixin_49561506的博客
04-24 611
Spring Security之跨域请求伪造的防护,以及单点登录,CAS
django ajax异步请求DjangoAjax库3813428.zip
02-01
Django中,我们通常使用jQuery库,它提供了便捷的Ajax函数,如`$.ajax()`和`$.get()`、`$.post()`等,使得发送Ajax请求变得简单。 **一、创建Ajax请求** 在前端,我们通常在JavaScript或jQuery代码中创建Ajax...
Django实现跨域的2种方法
12-26
jsonp 方式一:指定返回方法 # 后端 def view(request): callback = request.GET.get('callback') return HttpResponse('%s("我要上鸭王")' %(callback,)); ... dataType: 'jsonp', // 伪造aja
Django-React:完整堆栈应用程序
02-12
5. **安全性**:Django的CSRF(跨站请求伪造)保护与React的JWT(JSON Web Tokens)认证机制结合,可以实现安全的身份验证。同时,注意防止XSS(跨站脚本攻击)和SQL注入等常见Web安全问题。 6. **测试与调试**:...
django 取消csrf限制的实例
09-17
Django框架中,CSRF(Cross-site request forgery,跨站请求伪造)是一种重要的安全机制,用于防止恶意第三方在用户浏览器中伪造请求到你的应用。然而,在某些情况下,例如前后端分离的项目或者API接口,你可能...
2020年python的面试题整理Web篇.docx
11-26
- CORS是跨域资源共享,允许浏览器在特定条件下发起跨域AJAX请求,通过设置响应头`Access-Control-Allow-Origin`等来控制允许的源。 - CSRF(跨站请求伪造)是一种攻击方式,通过伪装用户的请求来执行恶意操作。...
spring security中的csrf防御原理(跨域请求伪造)
08-25
主要介绍了spring security中的csrf防御机制原理解析(跨域请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Ajax与跨站点请求伪造漏洞
03-22
Ajax与跨站点请求伪造漏洞,近日,我们的网站请微软的工程师作了一次漏洞扫描,扫描结果中有两个“跨站点请求伪造漏洞”。通过查资料,我做了一番研究,包括此漏洞的入侵条件,被攻击后的损失以及防范措施等。
csrf跨站请求伪造简单示例
10-18
一个简单的csrf跨站请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
10 SpringSecurity-跨域请求伪造(CSRF)的防护
02-22 4224
一、CSRF CSRF的全称是(Cross Site Request Forgery),可译为跨域请求伪造,是一种利用用户带登录 态的cookie进行安全操作的攻击方式。CSRF实际上并不难防,但常常被系统开发者忽略,从而埋下巨 大的安全隐患。 二、攻击过程 举个例子,假设你登录了邮箱,正常情况下可以通过某个链接http:xx.mail.com/send可以发送邮件。此时你又访问了别的网站,网站中有黄色广告,点击后广告会请求http:xx.mail.com/send。此时相当于在盗版网站中调用了发送邮
干货!!学习 CSRF 跨站请求伪造,看这一篇就够了
喜欢Python编程的程序员柚柚呀
06-21 646
才行。其实很简单,比如我们使用 QQ,看看 QQ zone,突然蹦出个包含中奖或者问卷调查链接的聊天窗口(或者是。。。),这个腾讯做了防范,但是我们收到封邮件包含此内容,很多用户会选择去点击在网上找了张图片很能说明这个过程。
SpringSecurity源码学习五:跨域与跨站请求伪造
qq_27586963的博客
10-21 434
跨域是指在网络中,当一个网页的资源(如字体、脚本或样式表)尝试从不同的域名、端口或协议请求数据时,会遇到安全限制问题。这是由于浏览器的同源策略所导致的。同源策略要求网页只能从同一域名下加载资源,而跨域请求则违反了这个策略。为了解决跨域问题,可以采取一些方法,如使用JSONP、CORS、代理服务器等。JSONP是通过动态创建总结起来,跨域是指在网络中由于浏览器的同源策略而限制了不同域名、端口或协议之间的资源请求。通过使用适当的跨域解决方案,可以允许跨域请求并获取所需的数据。
Python入门自学进阶-Web框架——8、认识Ajax,与Django交互,基于jQuery
web17886480312的博客
05-15 175
基于jQuery的Ajax实现: jQquery中创建XMLHttpRequest对象就没有兼容性问题了,而且不需要前面的四个步骤,直接使用.ajax(),通过设置相关的参数,如提交的方法,url,数据等,一次性完成所有步骤及功能。.ajax(),通过设置相关的参数,如提交的方法,url,数据等,一次性完成所有步骤及功能。.ajax(),通过设置相关的参数,如提交的方法,url,数据等,一次性完成所有步骤及功能。.ajax()是jQuery实现ajax的最底层方法。 $.ajax( url: type:“P
Pikachu靶场——跨站请求伪造(CSRF)
来日可期的博客
10-07 1172
全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密码等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。
CSRF 伪造跨域请求
技术的搬运工
01-30 395
伪造跨域请求(英语:Cross-site request forgery),通常缩写为CSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
深入理解django-cms:现代Web发布平台
这部分可能是关于如何有效利用django-cms来构建和管理网站的综合指南,包括最佳实践、技巧和常见问题解答。 总而言之,django-cms不仅是一个功能强大的CMS,还是一个学习Django框架的理想示例,为开发者提供了丰富...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值