Django 中CSRF中间件 ‘django.middleware.csrf.CsrfViewMiddleware‘

最新推荐文章于 2023-04-09 20:02:01 发布
最新推荐文章于 2023-04-09 20:02:01 发布
阅读量1k 收藏 3
点赞数
分类专栏: Django 文章标签: django 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42213622/article/details/108976805
版权

文章目录

1 csrf中间件功能及原理

CSRF # 表示django全局发送post请求均需要字符串验证
功能:防止跨站请求伪造的功能
工作原理:客服端访问服务器,在服务端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器时,服务器会到客户端查找先前返回的字符串,如果找到则继续,找不到就拒绝。
访问流程:客户端 —> URL路由系统—> CSRF—> 视图函数
需要在客户端页面的post表单中添:{% csrf_token%}

全局生效:
中间件 django.middleware.csrf.CsrfView.Middleware
局部生效:
@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
@csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

写法如下:
from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_exempt
def index(request): # 这样表示此函数取消CSRF验证
参考:https://www.cnblogs.com/dushangguzhousuoli/p/10649756.html

Carol_小菜鸟
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django中间件拦截未登录url
angchixian6300的博客
09-03 1038
1.利用装饰器在视图拦截未登录的url @login_required(login_url='/user/login/') def homepage(request): pass 这种方法适合于程序只有少数几个需要登录拦截的url。 2. 利用中间件技术拦截未登录的url 2.1 在settings.py添加MIDDLEWARE设置:middlewa...
DjangoCSRF保护机制:原理及如何使用?
最新发布
04-28 154
DjangoCSRF保护机制的原理是,当用户访问一个包含表单的页面时,Django会生成一个随机的CSRF令牌并将其存储在用户会话。当用户提交表单时,Django会验证表单的令牌是否与用户会话存储的令牌匹配。CSRF攻击是通过在用户浏览器上发送一个伪造的请求来实现的,请求包含了用户在其他网站上的身份验证信息。这样,在提交表单时,Django会验证请求CSRF令牌是否与用户会话的令牌匹配。另外,如果使用 AJAX 来提交表单,可以将令牌作为请求的一个参数来传递,或者将其添加到请求头
Django网络安全】如何正确防护CSRF跨站点请求伪造
黎明总是如期而至
04-09 721
CSRF(Cross-site request forgery),文名跨站点请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
Django中间件解析
bocai_xiaodaidai的博客
03-20 1384
一、什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。 每个中间件组件都负责做一些特定的功能。但是由于其影响的是全局,所以需要谨慎使用,使用不当会影响性能。 说的直白一点中间件是帮助我们在视图函数执行之前和执行之后都可以做一些额外的操作,它本质上就是一个自定义类,类定义了几...
python middleware模块_详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击...
weixin_39864601的博客
12-10 214
一、在django后台处理1、将django的setting的加入django.contrib.messages.middleware.MessageMiddleware,一般新建的django项目会自带的。MIDDLEWARE_CLASSES = ['django.middleware.security.SecurityMiddleware','django.contrib.sessions...
关于django中间件CsrfViewMiddleware的探究
LawssssCat的博客
12-07 1095
django中间件CsrfViewMiddleware源码分析,探究csrf实现文翻译DjangoWeb开发关于CSRF的正确配置by Mr数据杨。
Django CSRF中间件 'django.middleware.csrf.CsrfViewMiddleware',
weixin_33971130的博客
04-03 673
1、DjangoCSRF中间件的工作原理及form表单提交需要添加{% csrf_token %}防止出现403错误 CSRF # 表示django全局发送post请求均需要字符串验证功能:防止跨站请求伪造的功能工作原理:客户端访问服务器端,在服务器端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器端时,服务器端会到客户端查找先前返回的字符串,如果找到则继续,找...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
主要介绍了详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
django 取消csrf限制的实例
09-17
Django的`django.middleware.csrf.CsrfViewMiddleware`默认会将`csrftoken`放入Cookie,但前端JavaScript无法直接读取。 为了解决这个问题,可以使用`django-cors-headers`这个第三方库来处理跨域请求。首先安装...
django-csrf使用和禁用方式
12-20
# ‘django.middleware.csrf.CsrfViewMiddleware’, c. 局部禁用 'django.middleware.csrf.CsrfViewMiddleware', from django.views.decorators.csrf import csrf_exempt @csrf_exempt def csrf1(request): ...
Django基础(33): 中间件(middleware)的工作原理和应用场景举例
大江狗
03-29 3959
在初级Django开发项目,你大概率用不到中间件(Middleware)。但随着项目需求越来越复杂,你就需要开始编写自己的中间件了。当你了解到Djan...
DjangoCSRF防护原理及使用
逸尘的专栏
05-29 4910
django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django设置防跨站请求伪造功能有分为全局和局部。全局:中间件 django.middleware.csrf.CsrfViewMiddleware局部:@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings
Django 024】中间件Middleware(三):Django自带csrf中间件源码分析以及跳过csrf报错的四种方法
T型人小付的博客
04-17 885
Django作为一个重量级框架,其已经事先为我们内置了很多安全模块,CSRF中间件就是其之一。那么究竟什么是CSRF,其中间件工作原理是怎样的,我们又应该如何去使用CSRF呢。这一篇文章我们一起来深入学习一下。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录什么是CSRFCSRF的防范策略Django的...
DjangoCSRF 保护机制
weixin_34348174的博客
12-02 201
django 有多久,我跟 csrf 这个概念打交道就有久了。 每次初始化一个项目时都能看到 django.middleware.csrf.CsrfViewMiddleware 这个中间件 每次在模板里写 form 时都知道要加一个 {% csrf_token %} tag 每次发 ajax POST 请求,都需要加一个 X_CSRFTOKEN 的 header 但是一直我都是...
django中间件作用
Arrowarcher的博客
10-10 1221
django.middleware.security.SecurityMiddleware 一些安全设置,比如XSS脚本过滤、ssl重定向 django.contrib.sessions.middleware.SessionMiddleware session支持中间件,加入这个中间件,会在数据库生成一个django_session的表。 django.middleware.common.CommonMiddleware 通用中间件,会处理一些URL,比如baidu.com会自动的处理成www.baidu
django中间件CsrfViewMiddleware源码分析,探究csrf实现
qq_27952549的博客
09-05 1641
Django Documentation csrf保护基于以下: 1. 一个CSRF cookie 基于一个随机生成的值,其他网站无法得到。此cookie由CsrfViewMiddleware产生。它与每个调用django.middleware.csrf.get_token()(这是一个用于取回CSRF token的方法)的响应一起发送,如果它尚未在请求上设置的话。为了防止BREACH攻击,t...
利用django中间件CsrfViewMiddleware防止csrf攻击
weixin_30851867的博客
10-09 732
一、在django后台处理 1、将django的setting的加入django.contrib.messages.middleware.MessageMiddleware,一般新建的django项目会自带的。 MIDDLEWARE_CLASSES = [ 'django.middleware.security.SecurityMiddleware', 'django.cont...
MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', ]
05-24
这是Django项目默认的中间件列表,它们按照顺序执行,用于处理和转换HTTP请求和响应。 - `django.middleware.security.SecurityMiddleware`:用于提供基本的安全保护,包括防止跨站点请求伪造(CSRF)和点击劫持攻击。 - `django.contrib.sessions.middleware.SessionMiddleware`:提供会话支持,以便在请求之间存储和检索数据(如用户身份验证)。 - `django.middleware.common.CommonMiddleware`:提供一些常见的HTTP中间件功能,如gzip压缩、缓存控制等。 - `django.middleware.csrf.CsrfViewMiddleware`:提供CSRF保护,确保POST请求来自合法的来源。 - `django.contrib.auth.middleware.AuthenticationMiddleware`:提供用户身份验证支持,确保只有已登录用户才能访问需要授权的页面。 - `django.contrib.messages.middleware.MessageMiddleware`:提供消息支持,以便在请求之间存储和检索消息(如成功或错误消息)。 - `django.middleware.clickjacking.XFrameOptionsMiddleware`:提供点击劫持保护,确保网页不会被嵌入到其他网站的iframe

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值