Django Ajax CSRF 认证

最新推荐文章于 2022-11-23 22:28:09 发布
最新推荐文章于 2022-11-23 22:28:09 发布
阅读量874 收藏
点赞数
分类专栏: 数据可视化 文章标签: ajax python apache 调试

CSRF(Cross-site request forgery跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

Django 中自带了 防止CSRF攻击的功能,但是一些新手不知道如何使用,给自己编程带来了麻烦。常常会出现下面django csrf token missing or incorrect的错误。

GET 请求不需要 CSRF 认证,POST 请求需要正确认证才能得到正确的返回结果。一般在POST表单中加入 {% csrf_token %}

1
2
3
4
5
< form  method = "POST"  action = "/post-url/" >
     {% csrf_token %}
     
     < input  name = 'zqxt'  value = "自强学堂学习Django技术" >
</ form >


如果使用Ajax调用的时候,就要麻烦一些。需要注意以下几点:

  1. 在视图中使用 render (而不要使用 render_to_response)

  2. 使用 jQuery 的 ajax 或者 post 之前 加入这个 js 代码:http://www.ziqiangxuetang.com/media/django/csrf.js

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
jQuery(document).ajaxSend( function (event, xhr, settings) {
     function  getCookie(name) {
         var  cookieValue =  null ;
         if  (document.cookie && document.cookie !=  '' ) {
             var  cookies = document.cookie.split( ';' );
             for  ( var  i = 0; i < cookies.length; i++) {
                 var  cookie = jQuery.trim(cookies[i]);
                 // Does this cookie string begin with the name we want?
                 if  (cookie.substring(0, name.length + 1) == (name +  '=' )) {
                     cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                     break ;
                 }
             }
         }
         return  cookieValue;
     }
     function  sameOrigin(url) {
         // url could be relative or scheme relative or absolute
         var  host = document.location.host;  // host + port
         var  protocol = document.location.protocol;
         var  sr_origin =  '//'  + host;
         var  origin = protocol + sr_origin;
         // Allow absolute or scheme relative URLs to same origin
         return  (url == origin || url.slice(0, origin.length + 1) == origin +  '/' ) ||
             (url == sr_origin || url.slice(0, sr_origin.length + 1) == sr_origin +  '/' ) ||
             // or any other URL that isn't scheme relative or absolute i.e relative.
             !(/^(\/\/|http:|https:).*/.test(url));
     }
     function  safeMethod(method) {
         return  (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
     }
 
     if  (!safeMethod(settings.type) && sameOrigin(settings.url)) {
         xhr.setRequestHeader( "X-CSRFToken" , getCookie('csrftoken'));
     }
});

或者 更为优雅简洁的代码(不能写在 .js 中,要直接写在模板文件中):

1
2
3
$.ajaxSetup({
     data: {csrfmiddlewaretoken:  '{{ csrf_token }}'  },
});

这样之后,就可以像原来一样的使用 jQuery.ajax() 和 jQuery.post()了

最后,附上一个 Django Ajax CSRF 实例:exam.zip

办公室里穿拖鞋
关注
专栏目录
djangoAjax Post请求CSRF认证问题
qq_37668510的博客
07-05 747
Post请求CSRF认证问题
Django:Ajaxcsrf_token
HR_tigerking的博客
12-20 981
起因:Ajax提示403错误 闲言碎语:据课程结束还有一周多,js杀我,要加油加油。 CSRF(Cross Site Request Forgery protection),中文简称跨站请求伪造。 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局...
django框架中ajax的使用及避开CSRF 验证的方式详解
09-18
主要介绍了django框架中ajax的使用及避开CSRF 验证的方式,结合实例形式分析了Django框架ajax后台交互与排除验证csrf相关操作技巧,需要的朋友可以参考下
Django中使用Ajax时使用CSRF保护
silent_missile的博客
11-05 874
Django中使用Ajax时使用CSRF保护需要服务器设置CSRF的相关选项。并且在客户端读取特定的信息,然后采用特定的格式发送给服务器才能正确处理。
Django AjaxCSRF
xiangxiongfly
12-17 600
文章目录JSONAjaxAjaxcsrf方式一方式二文件上传 JSON JSON是指JavaScript对象表示法(JavaScript Object Notation) JSON是轻量级的文本数据交换格式 JSON.parse():将一个JSON字符串转为JavaScript对象 var json_str = '{"name":"Tom","age":20}'; var json...
Django AJAX csrf
anzhang5248的博客
08-08 106
1、原始 a、在HTML中添加 {% csrf_token %} b、在data中添加csrf_token对应input的 键值对 "csrfmiddlewaretoken" : $("[name='csrfmiddlewaretoken']").val() 2、保存到一个JS文件,并像JQuery一样引用即可 function getCookie(nam...
Django中如何写Ajax请求及CSRF认证
中国小宝
11-18 2206
最近下雨没有去学车,无聊在学习django,记录一下。两个内容:Ajaxcsrf。是post请求就要进行csrf验证,get请求则就不需要。如果不清楚csrf_token的使用,就会遇到“django csrf token missing or incorrect”的错误。 一、Ajax请求 1.1 GET请求的Ajax 路由url.py配置: ## Django ur...
详解DjangoCSRF认证实现
09-20
总的来说,DjangoCSRF认证实现是其安全性的重要组成部分,有效地防止了恶意的跨站请求,保护了用户的数据安全。通过理解其工作原理和中间件执行流程,开发者可以更好地实施和优化CSRF防护策略。
django 取消csrf限制的实例
09-17
Django框架中,CSRF(Cross-site request forgery,跨站请求伪造)是一种...在前后端分离项目中,应使用`django-cors-headers`处理跨域,并通过Ajax请求头传递CSRF Token,以确保在实现跨域功能的同时保持安全性。
django-csrf使用和禁用方式
12-20
Django CSRF(跨站请求伪造)是Web应用中一种安全机制,用于防止恶意第三方伪造用户的请求。在Django框架中,CSRF保护是默认启用的,以确保只有合法的用户操作才能被执行。以下是对标题、描述和标签内容的详细解释:...
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。 教你如何在AJAX请求上设置令牌。
django使用ajax提交需要csrf,DjangoAjax提交数据的CSRF问题
weixin_30338049的博客
08-06 679
错误信息:Forbidden (CSRF token missing or incorrect.):什么是CSRFdjango为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。全局:中间件 django.middleware.csrf.CsrfVie...
django ajax关于csrf_token
shihaizi的专栏
04-09 1226
djangoajax POST提价过程常常会出现403错误的解决 var myInit{ getCookie : function(name) { var cookieValue = null; if (document.cookie && document.cookie != '') { var cookies = document.cookie.split(';');
django csrftoken ajax
03-10 1419
// AJAX请求,获取csrftoken $.ajaxSetup({ beforeSend: function(xhr, settings) { function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !
Django中的CSRF使用及ajax请求接口时问题总结
最新发布
Colinspace
11-23 1245
总结Django的常规使用CSRF的情况,以及如何在AJAX 中请求后端接口的时候,使用 CSRF
关于 django ajax csrftoken
ck07
02-27 466
若不想把js写在模版中可以用如下方法:    event.preventDefault(); data=$("#verifyPersonForm").serialize() $.ajax({                 url: "/usercenter/authentication/",                 type: "post",
django-Ajax发送POST请求(csrf跨站请求的三种方式)
黑色小米粥
01-03 569
第一种 <script> $(".eq").on("click",function () { $.ajax({ url:"/eq/", type:"POST", data:{ csrfmiddlewaretoken:{{ csrf_token }}, //必须写在...
AJAXDjango 设置csrf_token
weixin_34191845的博客
06-28 197
方式一 通过获取隐藏的input标签中的csrfmiddlewaretoken值,放置在data中发送 $.ajax({ url: "/cookie_ajax/", type: "POST", data: { "username": "Q1mi", "password": 123456, "csrfmiddlewaretoken": $(...
Django框架AJAX使用及绕过CSRF验证实战解析
"django框架中ajax的使用及避开CSRF 验证的方式详解" 在Django框架中,Ajax(Asynchronous JavaScript And XML)被广泛用于实现网页的无刷新更新,提高用户体验。Ajax允许前端通过JavaScript向后端发送异步请求,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值