Django中关于csrf_token的认证

最新推荐文章于 2022-04-12 16:21:09 发布
最新推荐文章于 2022-04-12 16:21:09 发布
阅读量140 收藏
点赞数
文章标签: python 前端 json ViewUI
原文链接:http://www.cnblogs.com/Jack-Kong/p/10149641.html
版权

一、介绍:

  为了网站网站的安全,防止XSS等恶意数据性攻击。Django中提供了一个模块用以提供csrf认证。在使用之前我们先介绍下在Django中csrf的认证原理。
   csrf原理:在访问是会先发送一个GET的请求,将自己生成的验证字符串存放在客户端的cookie中,当客户端发送POST请求时,需携带该字符串进行认证。

二.认证方式:

  1.客户端直接post请求认证:

    在前端的form表单中直接添加 {% csrf_token %}便可通过认证

<form action="/login/" method="POST">
        {% csrf_token %}
        <input type="text" name="user" />
        <input type="text" name="pwd" />
        <input type="submit" value="提交" />
</form>

  2.客户端用ajax方式提交认证:

   2.1:在ajax中添加X-CSRFToken的请求头,必须从cookie中取csrftoken的值(对单一ajax请求处理)

$.ajax({
            type: "POST",
            url:"/login/",
            dataType: "json",
            headers: {'X-CSRFtoken': $.cookie('csrftoken')},
            data:{
                "account_code":$('#account_login').find("input[name=account_code]").val(),
                "pwd":$.sha256(pwd_const+$('#account_login').find("input[name=pwd]").val()),
            },
            error: function(request) {
                alert("Connection error");
            },
            success: function(data) {
                var success = data.status;
                if (success) {
                    window.location="/login/home/";
                } else {
                    $("#msg-info").html(data.message).css('color', 'red');
                    $('#msg-info').show();
                }
            }
        });

 2.2:使用$.ajaxSetup()给全局的ajax添加默认参数

        $.ajaxSetup({
                beforeSend: function(xhr,settings){
                    xhr.setRequestHeader('X-CSRFtoken', $.cookie('csrftoken'));
                }
            });

   注意:使用ajax提交数据时,如果我们前端没有csrf_roken的值会验证失败。此时我们还需要在客户端添加一个装饰器ensure_csrf_cookie(),使服务端提前发送csrf_token用以验证

from django.views.decorators.csrf import ensure_csrf_cookie
@ensure_csrf_cookie
def login(request):
    return render(request, 'login.html')

 

转载于:https://www.cnblogs.com/Jack-Kong/p/10149641.html

weixin_30920091
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全开发 | 如何让Django框架CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
详解DjangoCSRF认证实现
09-20
另外,对于使用Ajax的POST请求,也需要确保在请求头携带CSRF token,例如设置为`X-CSRFToken`。 总的来说,DjangoCSRF认证实现是其安全性的重要组成部分,有效地防止了恶意的跨站请求,保护了用户的数据安全。...
Django的cs rf token验证
qq_41048761的博客
03-12 447
CSRF(Cross Site Request Forgery protection),文简称跨站请求伪造。django对POST请求,csrf会进行认证处理,csrf认证机制是防御跨站伪造功能,在没有任何处理的前提下,POST请求会报错。 Django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 token,把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token,这样就能避免被 CSRF 攻击。 例子如下: login.html页面: 浏
Django 使用 csrf_token 验证
一VII一 的博客
09-06 2255
使用csrf_token 是需要生成一个安全的令牌(token),为了防止CSRF攻击。 Django 自带用于全局 csrf_token 验证间件 django.middleware.csrf.CsrfViewMiddleware。 1、在Django的settings文件: settings文件配置完毕后,全局向后台的请求都会使用csrf_token 验证。 2、views文件: 如...
Djangocsrf-token验证原理
bocai_xiaodaidai的博客
09-19 2406
众所周知,django通过CsrfViewMiddleware间件来下发和校验csrf-token有效性的。 那么,这个间到底是怎么实现token校验的呢? 首先,django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 csrftoken,并把这个 csrftoken 放在 cookie 里。然后每次 POST 请求都会带上这个 csrftoken。(这个csrftoken的有效期非常长(52周)) 在前后端不分离的django项目,可以通过{%csrf_token%}标签在表
Djangocsrf token验证原理
weixin_30299709的博客
06-10 81
我多年没维护的博客园,有一篇初学Django时的笔记,记录了关于django-csrftoekn使用笔记,当时几乎是照抄官网的使用示例,后来工作全是用的flask。博客园也没有维护。直到我的博客收到了如下评论,确实把我给问倒了,而且我也仔细研究了这个问题。 1. Django是怎么验证csrfmiddlewaretoken合法性的? 2. 每次刷新页面的时候<input...
django使用post方法时,需要增加csrftoken的例子
09-17
Django框架,为了确保Web应用的安全性,防止CSRF(Cross-site request forgery)攻击,开发者需要在处理POST请求时添加一个名为`csrftoken`的令牌。CSRF攻击是一种恶意用户在用户浏览器利用已登录用户的权限...
api.rar_Token 使用redis_django_exclaimedthp_redis_roselgr
09-24
在前后端分离的应用,它通常代替Cookie进行会话管理,因为Token更适合跨域访问且不易受到CSRF(跨站请求伪造)攻击。 接下来,我们来看如何使用Redis作为Token的存储库。Redis是一个内存数据结构存储系统,常被...
Django预防CSRF攻击的操作
12-20
Django的视图函数,框架会自动进行检查,首先从cookie取出`csrftoken`,然后与表单数据对应的值进行对比。如果两者匹配,请求被认为是安全的,否则,Django会拒绝该请求,返回403 Forbidden状态码。 4. **...
解决django前后端分离csrf验证的问题
09-19
今天小编就为大家分享一篇解决django前后端分离csrf验证的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
django csrf认证+token
chise_
03-26 203
django可以实现一个间件,验证token之后赋值user,跳过csrf验证间件代码如下: from django.utils.deprecation import MiddlewareMixin class TokenMiddleware(MiddlewareMixin): """ 所有带token的都不需要csrf验证 """ def process_r...
Django csrf校验通用方法
进阶的蜗牛
04-12 317
1、在django项目下创建js文件myfile.js文件如下: function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !== '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { .
Django---csrf_token
weixin_30783629的博客
12-03 508
1、csrf_token的作用 django为用户实现防止跨站请求伪造的功能,通过间件 django.middleware.csrf.CsrfViewMiddleware 来完成。 2、设置csrf_token 对于django设置防跨站请求伪造功能有分为全局和局部。 (1)全局 settings.py文件: MIDDLEWARE=[  ......  django.middle...
$.ajaxSetup({}) --- js ajax统一配置
qq_42855675的博客
06-03 1101
$.ajaxSetup() – 为将来的 AJAX 请求设置默认值     url 规定发送请求的 URL。默认是当前页面     type 规定请求的类型(GET 或 POST)     async 布尔值,表示请求是否异步处理。默认是 true     contentType 发送数据到服务器时所使用的内容类型。默认是:"applicati
[JQ权威指南]$.ajaxSetup()方法全局设置Ajax
德仔
07-19 8244
(1)功能描述:设置三个按钮,分别通过.ajax()方法请求一个XML文档的某部分数据并将回调的数据展示在页面。在请求前,使用.ajax()方法请求一个XML文档的某部分数据并将回调的数据展示在页面。在请求前,使用.ajaxSetup()方法进行一些参数项的全局性设置。HTML:
django设置csrf_token
qq_43593912的博客
05-11 3600
一、关于csrf_token csrf:跨站请求伪造,防止其他人改造,盗取信息,反正就是一种网站的防护措施 服务器端:设置随机的csrf_token,get请求的时候就该设置好 客户端:携带上相应的csrf_token,post请求的时候携带上 二、form表单设置csrf_token 通过模板标签进行设置 当提交post请求的时候会自动带上 三、针对某个类视图设置csrf_token fr...
django {% csrf_token %}
最新发布
05-16
Django,使用{% csrf_token %}标签可以生成一个随机的CSRF令牌。这个令牌会在提交表单时一起提交给服务器,服务器会验证这个令牌是否与用户登录信息匹配,如果不匹配,则认为这是一次恶意请求,服务器会拒绝执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值