django设置csrf_token

最新推荐文章于 2024-06-11 00:17:35 发布
最新推荐文章于 2024-06-11 00:17:35 发布
阅读量3.5k 收藏 5
点赞数 1
分类专栏: django设置csrf_token 文章标签: csrf_token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43593912/article/details/90111630
版权

一、关于csrf_token

  • csrf:跨站请求伪造,防止其他人改造,盗取信息,反正就是一种网站的防护措施
  • 服务器端:设置随机的csrf_token,get请求的时候就该设置好
  • 客户端:携带上相应的csrf_token,post请求的时候携带上

二、form表单设置csrf_token

通过模板标签进行设置
在这里插入图片描述
当提交post请求的时候会自动带上

三、针对某个类视图设置csrf_token

from django.views.decorators.csrf import ensure_csrf_cookie
from django.utils.decorators import method_decorator
from django.views import View


class LoginView(View):
    @method_decorator(ensure_csrf_cookie)
    def get(self, request):
        pass

    def post(self, request):
        pass

针对整个项目中所有视图设置csrf_token

①自定义中间件,在utils目录下创建CsrfMiddleware.py,如下图所示:
在这里插入图片描述
②注册中间件,在项目目录下的settings.py中,如图所示写上全路径
在这里插入图片描述

四、提交post请求携带csrf_token

前面说到,form表单是自动携带上的,那么ajax请求是如何携带csrf_token的呢?
很简单,通过jquery获取,在ajax请求之后附加如下js代码:

// get cookie using jQuery
  function getCookie(name) {
    let cookieValue = null;
    if (document.cookie && document.cookie !== '') {
      let cookies = document.cookie.split(';');
      for (let i = 0; i < cookies.length; i++) {
        let cookie = jQuery.trim(cookies[i]);
        // Does this cookie string begin with the name we want?
        if (cookie.substring(0, name.length + 1) === (name + '=')) {
          cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
          break;
        }
      }
    }
    return cookieValue;
  }

  function csrfSafeMethod(method) {
    // these HTTP methods do not require CSRF protection
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
  }

  // Setting the token on the AJAX request
  $.ajaxSetup({
    beforeSend: function (xhr, settings) {
      if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
        xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
      }
    }
  });
scott_zhb
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Django在模板中使用CSRF Token
Nnnn的博客
08-26 1204
CSRF Token在Django站点的模板中主要应用在form表单,步骤相对简单。在HTML模板中添加“{% csrf_token %}”标记。一般常用对应的两种方法是GET和POST。GET方法把传入参数名称和值格式化包含在URL地址后缀。POST方法则是将参数加密包含在HTTP/HTTPS协议格式的消息之中。对于一些敏感操作,为了避免短时间重复执行,CSRF Token令牌是很有效且必要的措施。...
Django中csrf-token验证原理
bocai_xiaodaidai的博客
09-19 2376
众所周知,django通过CsrfViewMiddleware中间件来下发和校验csrf-token有效性的。 那么,这个中间到底是怎么实现token校验的呢? 首先,django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 csrftoken,并把这个 csrftoken 放在 cookie 里。然后每次 POST 请求都会带上这个 csrftoken。(这个csrftoken的有效期非常长(52周)) 在前后端不分离的django项目中,可以通过{%csrf_token%}标签在表
django中间件生成csrf_token
fksfdh的博客
03-04 2409
class MiddlewareMixin: #django启动时就执行,与用户无关 def __init__(self, get_response=None): self.get_response = get_response super().__init__() def __call__(self, request): re...
Django 安全性与防御性编程:如何保护 Django Web 应用
最新发布
Gefangenes的博客
06-11 911
使用 Django ORM 提供的查询方法,如。
Django中CSRF原理及应用详解
热门推荐
AlexGeek
09-22 1万+
 Web开发中十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造(CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
详解Django的CSRF认证实现
09-20
另外,对于使用Ajax的POST请求,也需要确保在请求头中携带CSRF token,例如设置为`X-CSRFToken`。 总的来说,Django的CSRF认证实现是其安全性的重要组成部分,有效地防止了恶意的跨站请求,保护了用户的数据安全。...
Python库 | django_request_token-0.14.1-py3-none-any.whl
02-16
总之,`django_request_token`是一个对Django开发者来说至关重要的安全工具,它简化了CSRF防护的实现,让开发者能专注于更重要的业务逻辑,而不必担心安全性问题。通过正确使用这个库,你可以确保你的Python/Django...
api.rar_Token 使用redis_django_exclaimedthp_redis_roselgr
09-24
path('refresh/', CustomTokenRefreshView.as_view(), name='token_refresh'), ``` 5. **Redis中的Token管理**:一旦生成Token,它们会被存储在Redis中。你可以设置一个过期时间,以在一定时间后自动清除Token,...
django 取消csrf限制的实例
09-17
Django的`django.middleware.csrf.CsrfViewMiddleware`默认会将`csrftoken`放入Cookie中,但前端JavaScript无法直接读取。 为了解决这个问题,可以使用`django-cors-headers`这个第三方库来处理跨域请求。首先安装...
Django 使用 csrf_token 验证
一VII一 的博客
09-06 2249
使用csrf_token 是需要生成一个安全的令牌(token),为了防止CSRF攻击。 Django 自带用于全局 csrf_token 验证的中间件 django.middleware.csrf.CsrfViewMiddleware。 1、在Django的settings文件中: settings文件中配置完毕后,全局向后台的请求都会使用csrf_token 验证。 2、views文件: 如...
django中写form表单时csrf_token的作用
up1012的博客
07-13 9165
    之前在学习django的时候,在template中写form时,出现错误。百度,google后要加{% csrf_token %}才可以,之前一直也没研究,只是知道要加个这个东西,具体是什么也不明白。 前段时间看了 《web前端黑客技术解密》一书,最近又看见了csrf_token,研究了下,下面是自己的理解。目的:    csrf_token 是为了防止csrf(跨站请求伪造),什么是cs...
前端--携带token下载表格JS
lllllllN的博客
05-29 941
项目起始的时候,有导出表格的需求,不需要token直接可以使用A标签直连下载 但是在我们项目逐渐完善后,在导出导入等一系列敏感操作的情景下,会要求携带token进行下载导入,这时,A标签href直连就不好使了,就需要写一个公用的方法,本文使用的是原生ajax请求数据 getUserToken()为自己写的方法,return的是存储的token url为下载的连接,post方法需要在连接后面使用formData格式append每个参数 可以封装一个方法, 可配置项: 下载链接,文件名称 var xhr =
form表单post提交参数 携带token_DjangoCSRF_TOKEN携带方式
weixin_42118056的博客
01-16 4330
Ⅰ html页面直接提交解除中间件注释无csrf_token数据的post请求在html页面form表单中直接添加{% csrf_token%}会在html中生成随机字符串,上图添加的位置是不正确的浏览器在进行post请求时会自动携带到服务器,服务以此判断访问用户是否合法注意:每个存在form表单都需要添加,否则就是403Ⅱ ajax提交方式一:放到data中 -- 提交的时候在前端现取使用aj...
Django CSRF(什么是CSRF?)\Django前后端分离csrf token获取方式
西京刀客
12-07 1519
Django CSRF 浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。 浏览器的同源策略并不能阻止CSRF攻击。 什么是CSRF? CSRF是Cross Site Request Forgery的缩写,翻译过来就是跨站请求伪造。 Django CSRF django为用户实现防止跨站请求伪造的功能,通过中间件django.middleware.csrf.CsrfViewMiddle
Django的crfs_token解决办法
weixin_30239339的博客
09-19 355
解除中间件csrf_token的保护机制的办法 原理:django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django设置防跨站请求伪造功能有分为全局和局部。当用post提交数据的时候,django会去检查是否有一个csrf的随机字符串,如果没有就会报错 全局:   中间件 dja...
一起学习Django框架(十)Django中间件;浅谈CSRF_TOKEN
Simple子夜
04-18 1393
目录Django中间件(MiddleWare)一、什么是中间件二、中间件的作用三、自定义中间件3.1 process_request与process_response方法3.2 process_view方法3.3 process_exception3.4 process_template_responseCSRF_TOKEN一、CSRF是什么二、CSRF攻击原理三、CSRF攻击防范 Django中间件(MiddleWare) 中间件本身是一个很大的范围,比如:数据库中间件、服务器中间件、消息队列中间件等等
django csrf认证+token
chise_
03-26 198
django可以实现一个中间件,验证token之后赋值user,跳过csrf验证,中间件代码如下: from django.utils.deprecation import MiddlewareMixin class TokenMiddleware(MiddlewareMixin): """ 所有带token的都不需要csrf验证 """ def process_r...
Django CSRF_TOKEN跨域攻击处理
Rick的专栏
03-25 908
1.setting 文件中MIDDLEWARE_CLASSES中加入django.middleware.csrf.CsrfViewMiddlewar2.view(建议所有视图中都加上RequestContext):def faq(request): c = RequestContext(request) ... ... return render_to_respons
django {% csrf_token %}
05-16
Django中的CSRF(Cross Site Request Forgery)是一种攻击方式,攻击者利用用户已登录的状态,伪造用户的请求,从而执行一些恶意操作。为了防止这种攻击,Django提供了CSRF保护机制。 在Django中,使用{% csrf_token %}标签可以生成一个随机的CSRF令牌。这个令牌会在提交表单时一起提交给服务器,服务器会验证这个令牌是否与用户登录信息匹配,如果不匹配,则认为这是一次恶意请求,服务器会拒绝执行该请求。 使用{% csrf_token %}标签很简单,只需要在表单中添加该标签即可: ``` <form method="post"> {% csrf_token %} <!-- 其他表单元素 --> <button type="submit">提交</button> </form> ``` 在提交表单时,Django会自动将CSRF令牌添加到表单数据中,并在服务器端验证令牌的有效性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值