python Django学习(14)——CSRF

最新推荐文章于 2021-03-04 09:48:59 发布
最新推荐文章于 2021-03-04 09:48:59 发布
阅读量211 收藏
点赞数
文章标签: python Django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42567323/article/details/102588979
版权
前言

    之前在做form表单提交或者ajax提交的时候,都会提前在settings.py中做一个配置:找到MIDDLEWARE,把里面关于CSRF那一句注释掉,然后再做提交,那么,如果我们不注释,会出现什么情况呢?

一.CSRF原理

    我们先来把注释CSRF的那一句打开,然后运行程序,在login页面输入账号密码,然后点提交,然后就出现了下面这个页面:
在这里插入图片描述
    这个错误的意思是csrf校验失败,request请求被丢弃掉。
    那么什么是CSRF呢?
    CSRF, Cross Site Request Forgery, 跨站点伪造请求。举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的.

二.解决方法

1.form表单提交

    对于form表单提交来说,有两种方法解决CSRF错误.
方法一:
    第一种方法就是我们之前一直用的,在settings.py中找到MIDDLEWARE,将里面关于CSRF的那一句代码注释掉:

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    # 'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

方法二:
    第二种方法就是在form表单里加上{% csrf_token %}

        <p>{% csrf_token %}</p>
        <input type="text" name="username" placeholder="用户名">
        <input type="password" name="pwd" placeholder="密码">
        <input type="checkbox" name="rmb" value="1">10秒免登陆
        <input type="submit" value="提交">
2.ajax提交

    对于ajax数据的提交,通过以下方式来解决:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>login</title>
</head>
<body>
    <form action="/app01/login/" method="post">
        <p>{% csrf_token %}</p>
        <input type="text" name="username" placeholder="用户名">
        <input type="password" name="pwd" placeholder="密码">
        <input type="checkbox" name="rmb" value="1">10秒免登陆
        <input type="submit" value="提交">
        <input id="btn" type="button" value="按钮">
        <input id="btn2" type="button" value="按钮">
        <script src="/static/jquery-1.12.4.js"></script>
        <script src="/static/jquery.cookie.js"></script>
        <script>
            $(function () {
                发送ajax请求的时候的配置
                $.ajaxSetup({
                beforeSend: function(xhr,settings){
                    xhr.setRequestHeader('X-CSRFtoken', $.cookie('csrftoken'));
                }
            });
                $('#btn,#btn2').click(function () {
                    $.ajax({
                        url:"/app01/login/",
                        type:"POST",
                        data:{'user':'root','pwd':'123'},
                        success:function (arg) {

                        }
                    })
                })
            })
        </script>
    </form>
</body>
</html>

    主要代码:

	{#发送ajax请求的时候的配置#}
     $.ajaxSetup({
     beforeSend: function(xhr,settings){
         xhr.setRequestHeader('X-CSRFtoken', $.cookie('csrftoken'));
     }

    这样的配置就是为所有的ajax请求都配置好了.

另外,在settings.py中注释掉CSRF就以为着所有的函数都不需要认证了.假如我们有100个函数,其中98个需要认证,2个不需要认证,那么我们注释掉CSRF后,还得为另外98个单独配置;
意思也就是说,settings.py中是全局配置,那么有没有局部配置呢?

局部配置:
from django.views.decorators.csrf import csrf_exempt,csrf_protect


@csrf_protect
def index(request):
    # 获取当前用户的随机字符串
    # 根据随机字符串获取对应信息
    if request.session.get('is_login',None):
        return render(request,'index.html',{'data':request.session['username']})
    else:
        return HttpResponse('滚!')

@csrf_exempt
def index_test(request):
    pass

    其中:


@csrf_exempt
def index_test(request):
    pass

    @csrf_exempt表示index_test()这个函数不需要认证了.
    同理:@csrf_protect就表示被装饰的那个函数需要认证.

写在最后

    本文是个人的一些学习笔记,如有侵权,请及时联系我进行删除,谢谢大家.

天道酬勤Fan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python web实战之Django 的跨站点请求伪造(CSRF)保护详解
Rocky006的博客
08-16 1281
本文详细介绍了 Django 中的跨站点请求伪造(CSRF)保护机制。实际开发中,仅仅靠CSRF机制并不是绝对安全的,还应该结合其他安全措施,综合多种技术来确保应用程序的安全性。
python django跨域解决csrf_exempt
qq_38407055的博客
04-25 2701
先导入包:from django.views.decorators.csrf import csrf_exempt 1.在需要跨域的视图前面加上装饰器@csrf_exempt 2.在url配置中加入(r’xx’,csrf_exempt(xxx.xxx))
解决:禁止访问 (403) CSRF验证失败
lyw5200的博客
10-27 5315
在测试Django框架POST请求方式时,程序报错如下 在确保访问安全的情况下有一下两种方式: 1、在相应html文件form代码块中添加如下代码: <form method="post" action="/method_show/"> {% csrf_token %} <!-- 改行代码为添加部分 --> <input type="submit" value="post方式"> </form> 但是仅仅添加这句代码,...
Web 漏洞分析与防御之 CSRF(二)
weixin_30555515的博客
10-11 144
原文地址:Web 漏洞分析与防御之 CSRF(二) 博客地址:http://www.extlight.com 一、全称 跨站请求伪造(Cross-site Request Forgery) 二、原理 在用户登陆目标网站后,后端会返回用户登陆的凭证到前端(浏览器的 cookie)。攻击者诱使用户点击某个超链接,该超链接会发送恶意请求(会携带用户的 cookie),从而冒充用户完成业务请求(发帖、...
laravel 返回419错误解决(CSRF
明日晴空的博客
03-04 2387
1.关闭VerifyCsrfToken中间件验证 进入项目目录 app/Http/Kernel.php文件,注释下图这行代码 2、在VerifyCsrfToken 中间件,加入白名单
Python库 | django-mini-0.4.2.tar.gz
03-02
这个压缩包`django-mini-0.4.2.tar.gz`包含了该框架的一个特定版本——0.4.2。在Python的开发世界中,Django是一个广泛使用的开源框架,用于构建高效、安全且可扩展的Web应用。 ### Django框架基础 Django遵循MVT...
Python库 | django_uri-1.0.2-py2.7.egg
02-21
在`django_uri-1.0.2-py2.7.egg`这个压缩包中,我们找到了这个库的特定版本——1.0.2,适用于Python 2.7环境。 Django是一个强大的开源Web框架,用于快速开发安全且可维护的网站。它遵循模型-视图-控制器(MVC)...
Python开发工程师学会用 Django 框架实现功能方法实现.zip
05-21
Django是基于MTV(Model-Template-View)模式的Python Web框架,它提倡“干(DRY)原则”——Don't Repeat Yourself,旨在简化开发过程并提高代码复用性。在Model部分,Django提供了强大的ORM(对象关系映射)工具,...
Python库 | django-apar-1.1.5.78.tar.gz
03-02
本文将深入探讨Python库中的一个重要组件——`django-apar`,版本为1.1.5.78,它是一个专为PythonDjango框架设计的后端开发工具。这个库的发布为Python开发者提供了强大的功能,帮助他们更高效地构建和管理Django...
python项目之药物管理系统(django完整源码+说明文档).zip
04-29
Python项目:药物管理系统——基于Django的实现与解析》 在信息技术日益发达的今天,利用编程技术构建管理系统已经成为各行各业提升效率的有效手段。本项目,"python项目之药物管理系统(django完整源码+说明文档...
禁止访问 (403) CSRF验证失败. 请求被中断.————错误处理(测试接口时遇到的问题)
Kinght_123的博客
01-06 3026
问题描述 解决措施 在Header参数中添加Content-Type和X-CSRFToken信息,这样就不会报错了。 运行结果
python 全栈开发,Day88(csrf_exempt,ES6 快速入门,Vue)
shykevin的博客
07-23 791
python 全栈开发,Day88(csrf_exempt,ES6 快速入门,Vue) BBS项目内容回顾 1. 登陆页面 1. 验证码 1. PIL(Pillow) 2. io 2. ORM 1. 增删改查 3. AJAX $.ajax...
python django 表单自动化_Python自动化之DjangoCSRF
weixin_39943000的博客
12-11 129
什么CSRF?CSRF, Cross Site Request Forgery, 跨站点伪造请求。举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。Django 提供的 CSRF 防护机制django 第一次响...
java报错 csrf_CSRF Security Error解决办法
weixin_35724881的博客
02-25 999
在myeclipse上部署项目,遇到如下问题:错误描述:org.directwebremoting.dwrp.BaseDwrpHandler - A request has beendenied as a potential CSRF attack.org.directwebremoting.dwrp.BaseCallHandler - Exception whileprocessing batc...
csrfpython django中的一些应用
houzi_01的博客
07-03 705
1、csrf 基本知识2、django自带的csrf中间件的使用问题1、概念        CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。       CSRF攻击原理(借鉴一个总结的非常好的图解):如果还不够形象,再来个例子~   ...
Python面试题-如何解决csrf跨域问题
Tubby__的博客
02-12 389
web后端面试题-如何解决跨域问题 最近在整理Python的web后端面试题,整理到了如何解决跨域问题,如有错误,欢迎指正 前后端不分离的CSRF 在页面HTML提交的form表单前加{ % csrf_token %} 最简单粗暴的方法就是将settings.py配置文件中的CSRF的中间件注掉 前后端分离的CSRF 注销Django中的中间件(django.middleware.c...
python模拟浏览器上传文件_python模拟浏览器文件上传,csrf放行
weixin_39929096的博客
12-04 95
服务器端视图函数from django.shortcuts import render,HttpResponsefrom django.views.decorators.csrf import csrf_exempt# Create your views here.@csrf_exempt#这个可以对csrf进行放行def up(request,):file_list = request.FILE...
Django csrf 两种方法设置form
u013023781的专栏
03-12 3811
第一种方法,在视图函数上边添加一条语句 @csrf_exempt 例子: @csrf_exempt def login(request): return render_to_response('app/login.html', locals()) 上边的方法是取消csrf的防御机制。 第二种方法,给出例子,主要为在html的form里面加入{% csrf_token %}这句
pythondjango框架的csrf验证
weixin_34289454的博客
05-28 107
在form表单以post的方式提交时,django默认会带一个验证的机制csrf验证 <form action="/day02/login/" method="post"> {% csrf_token %} 用户名: <input type="text" name="user"> 密码 <input type="text" name...
python django 3.2.9 from csrf token missing or incorrect.
最新发布
09-01
这个错误是由于在Django中使用CSRF保护措施时没有正确地传递CSRF令牌导致的。Django默认启用了CSRF保护来防止跨站请求伪造。CSRF令牌是通过在表单中添加一个隐藏的字段或者通过设置HTTP头部来传递的。 要解决这个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值