CSRF简介
CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。
CSRF示意图如下:
如果想防止CSRF,首先是重要的信息传递都采用POST方式而不是GET方式,接下来就说POST请求的攻击方式以及在Django中的避免。
防止CSRF
1.Django提供了csrf中间件用于防止CSRF攻击,只需要在test4/settings.py中启用csrf中间件即可。
2.也可以在from表单后添加 {% csrf_token %} ,也是可以防止csrf攻击的
保护原理
实际是在from表单的后面会生成一传value属性的值,一段字符串
说明:当启用中间件并加入标签csrf_token后,会向客户端浏览器中写入一条Cookie信息,这条信息的值与隐藏域input元素的value属性是一致的,提交到服务器后会先由csrf中间件进行验证,如果对比失败则返回403页面,而不会进行后续的处理。
登录装饰器
def login_required(view_func): '''登录判断装饰器''' # view_args位置参数(接收位置参数),view_kwargs关键字参数(接收关键字参数) def wrapper(request,*view_args,**view_kwargs): # 判断用户是否登录 if request.session.has_key("islogin"): # 用户已登录 view_func(request,*view_args,**view_kwargs) else: # 用户未登录 return redirect("/login") # 跳转到登录视图函数 return wrapper
用的时候可以直接给视图函数直接 使用 @login_required