Django-跨域问题Csrf

最新推荐文章于 2024-06-04 07:33:37 发布
最新推荐文章于 2024-06-04 07:33:37 发布
阅读量213 收藏 1
点赞数
分类专栏: # Django 文章标签: django csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43903639/article/details/122886598
版权

防⽌⽹站受第三⽅服务器的恶意攻击,csrf相当于在表达中增加了⼀个隐藏的input框,⽤于向服务器提交⼀个唯一的随机字符串⽤于服务器验证表单是否是本服务器的表单。

在settings中我们设置过这个中间件,默认是开启的,我们可以注释掉并不开启

MIDDLEWARE = [
	'django.middleware.csrf.CsrfViewMiddleware',
]

一、前后端不分离

我们开启的情况下可以设置一下我们的表单

<form action="" method="post">
    {% csrf_token %}
    <input type="text" name="username">
    <input type="submit">
</form>

这样的话我们的表单会自动提交这个csrf,但是现在已经很少使用submit直接提交了,我们可以使用JS进行提交

<form method="POST" action="/csrf1.html">
    {% csrf_token %}
    <input id="username" type="text" name="username" />
    <input type="submit" value="提交"/>
    <a onclick="submitForm();">Ajax提交</a>
</form>
<script src="/static/jquery-1.12.4.js"></script>
<script>
function submitForm(){
    var csrf = $('input[name="csrfmiddlewaretoken"]').val();
    var user = $('#user').val();
    $.ajax({
        url: '/csrf1.html',
        type: 'POST',
        data: { "user":user,'csrfmiddlewaretoken': csrf},
        success:function(data){
        	console.log('OK');
        }
    })
}
</script>

二、跨域问题

⼀个⽹站不能使⽤ajax来访问另⼀个⽹站的数据,这样的话会被浏览器给阻止,这个问题我们通常叫做跨域问题,哪怕是同一域名下的二级域名都不可以

域名的组成 http://www.google.com:80/index.html

http:// 协议

www 子域名

google 主域名

80 端口号

index.html 请求的地址

当协议、⼦域名、主域名、端⼝号中任意⼀个不相同时,都算不同的“域”,不同的域之间相互请求资源,就叫“跨域”。

三、前后端分离

对于前后端分离项目,我们就很难将生成的scrf字符串返回给前端,所以我们需要一个模块

pip install django-cors-headers

设置

#在INSTALLED_APPS⾥添加“corsheaders”
INSTALLED_APPS = [
    'corsheaders']

#在MIDDLEWARE_CLASSES添加,这个中间件的位置不要改,否则会出bug
MIDDLEWARE_CLASSES = [
    'corsheaders.middleware.CorsMiddleware',
    'django.middleware.common.CommonMiddleware',
]

# 处理跨域
# 添加允许执行跨站点请求的主机
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_ALLOW_ALL = True
# 授权进行跨站点HTTP请求的来源列表
CORS_ORIGIN_WHITELIST = [
     'http://127.0.0.1',
     'http://localhost',
]
# 允许的方法
CORS_ALLOW_METHODS = [
     'DELETE',
     'GET',
     'OPTIONS',
     'PATCH',
     'POST',
     'PUT',
]
# 发出实际请求时可以使用的非标准HTTP标头的列表
CORS_ALLOW_HEADERS = (
     'XMLHttpRequest',
     'X_FILENAME',
     'accept-encoding',
     'authorization',
     'content-type',
     'dnt',
     'origin',
     'user-agent',
     'x-csrftoken',
     'x-requested-with',
)
LyaJpunov
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
django解决请求的问题详解
09-19
主要介绍了django解决请求的问题详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Django请求CSRF的方法示例
01-20
web请求 1.为什么要有限制 举个例子: 1.用户登录了自己的银行页面 http://mybank.com,http://mybank.com向用户的cookie中添加用户标识。 2.用户浏览了恶意页面 http://evil.com。执行了页面中的恶意AJAX请求代码。 3.http://evil.com向http://mybank.com发起AJAX HTTP请求,请求会默认把http://mybank.com对应cookie也同时发送过去。 4.银行页面从发送的cookie中提取用户标识,验证用户无误,response中返回请求数据。此时数据就泄露了。 5.而且由于Ajax
问题与Django解决方案:深入解析原理、请求处理与CSRF防护
最新发布
啊猪是的读来过倒的博客
06-04 1066
问题在Web开发中如影随形,而Django框架为我们提供了解决方案。本文将解析原理,并介绍Django中处理请求与CSRF防护的策略,助您轻松应对挑战。当一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为当前页面url被请求页面url是否原因否同源(协议、名、端口号相同)协议不同(http / https)名不同(baidu / google)名不同(www / blog)端口号不同(8080 / 8888)
django:访问及CSRF防护
dangfulin的博客
09-17 717
一,什么是访问? 二,django设置访问 三,djangoCSRF防护
前后端分离,解决问题及django的csrf站请求保护
weixin_30537391的博客
12-01 350
1. 前后端分离解决问题 解决调用服务并设置headers 主要的解决方法需要通过服务器端设置响应头、正确响应options请求,正确设置 JavaScript端需要设置的headers信息 方能实现; 关于,前端会先发送OPTIONS请求,进行预检,检查后端是否允许前端设置的相应的请求头,请求内容 function getCookie(name) { ...
DJANGO VUE3 CSRF问题刨坑
llsixly
04-26 2450
文章目录前言1.问题后台django部分第一步,安装cors的扩展包第二步,导入应用第三步,插入中间件第四步,允许发送cookie第五步,设置白名单:第六步,设置允许的请求方法第七步,设置允许的其请求头第八步,测试2.CSRF问题和Cookie第一步,VUE的main.ts设置第二步,通过get请求先获取csrftoken第三步,请求中带上CSRFTOKEN 前言 不行,我必须要总结一下,搞了两天,都在处理问题。 看到尤大的那句直接学VUE3就好,开始了VUE3+TS的刨坑之路,只能说不懂英语的程
django与vue前后端分离csrf问题
RubyLinT的博客
01-18 1608
1.安装django-cors-headers: pip install django-cors-headers 2.在settings.py中启用django.middleware.csrf.CsrfViewMiddleware中间件: MIDDLEWARE=[ ... 'corsheaders.middleware.CorsMiddleware', 'django....
解决Django 前后端分离问题
Snippers的博客
03-10 1112
一、出现原因 浏览器的同源策略:同源策略是一种浏览器最基本的安全机制,如果两个 URL 的 protocol、port(如果有指定的话)和 host都相同的话,则这两个 URL 是同源。 二、解决方案 (一)CORS:使用django-cors-headers包 支持Python 3.6至3.9。 支持Django 2.2到3.2。 1、从pip安装: pip install django-cors-headers 2、修改settings.py: 注册App INSTALLE..
django前后端分离_CSRF解决方案
sola_酱的博客
06-21 1789
前言 现在都是采用前后端分离的方式,所以并不能采用传统的发送,直接在渲染页面的时间加上csrftoken。 我也看好多网上写的方案,都乱,所以我总结一下: 首先有两张方法,都是直接关掉csrf的,一个是在setting.py里面关掉csrf中间件,另一种是在view视图里面加上装饰器,以达到我们的目的,都是我觉得这样的方式太激进了,不行我们就关掉?我不喜欢这样的方法,所以我在下面没有介绍,如果你们也想这样,可以去看看别人写的,有思路,找起来也不难。 不关闭csrf的解决方案 思路 想办法在静态页面生成的
Django中间件解析
bocai_xiaodaidai的博客
03-20 1388
一、什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。 每个中间件组件都负责做一些特定的功能。但是由于其影响的是全局,所以需要谨慎使用,使用不当会影响性能。 说的直白一点中间件是帮助我们在视图函数执行之前和执行之后都可以做一些额外的操作,它本质上就是一个自定义类,类中定义了几...
Django请求问题的解决方法示例
09-20
在Django框架中,资源共享(CORS)是一个常见的问题,特别是在开发涉及前端与后端交互的应用程序时。浏览器的同源策略限制了JavaScript从一个名向另一个名发起HTTP请求,这导致了请求的限制。为了解决这...
django 取消csrf限制的实例
09-17
本文将详细介绍如何在Django中取消CSRF限制,并探讨在前后端分离项目中处理CSRF Token和问题的方法。 首先,要取消Django中的CSRF限制,你可以使用`django.views.decorators.csrf.csrf_exempt`装饰器。这是一个...
python middleware模块_详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击...
weixin_39864601的博客
12-10 214
一、在django后台处理1、将django的setting中的加入django.contrib.messages.middleware.MessageMiddleware,一般新建的django项目中会自带的。MIDDLEWARE_CLASSES = ['django.middleware.security.SecurityMiddleware','django.contrib.sessions...
Django之同源和CSRF详解
她°
04-22 524
一.CSRF 全称是Cross Site Request Forgery,字面意思是站点伪造请求。 攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息。 原理解释: 为了防止站攻击,django中需要在前端页面中添加一个标签:{% csrf_token %},他会在前端页面生成一...
Django中解决csrf问题
IT菜鸟
06-30 1073
参考博客 post请求实现方案小结--转 一、问题综述 1. 同源:协议,名,端口相同 2. 同源策略:一个名下面的js,没有经过允许是不能读取另外一个名的内容,浏览器不允许js访问别的,但是浏览器不阻止你向另外一个名发送请求。 2.CSRF(Cross-site request forgery)站请求伪造,也被称为“One Click Attack”或者Sess...
Django请求CSRF
一念永恒
10-28 1254
web请求 1.为什么要有限制 举个例子: 1.用户登录了自己的银行页面 http://mybank.com,http://mybank.com向用户的cookie中添加用户标识。 2.用户浏览了恶意页面 http://evil.com。执行了页面中的恶意AJAX请求代码。 3.http://evil.com向http://mybank.com发起AJAX HTTP请求,请求会默认把ht...
Flask项目(一)前后端分离、项目目录结构、数据库设计、CRF
行者
11-10 5610
Flask项目认识前后端分离项目文件目录结构单一文件中构建所有依赖工具创建工程目录(对单一文件进行拆分)日志文件应用数据库设计为静态文件添加蓝图crf防护 认识前后端分离 项目文件目录结构 单一文件中构建所有依赖工具 manage.py # coding:utf-8 from flask import Flask from flask_sqlalchemy import SQLAlchemy from flask_session import Session from flask_wtf import
CSRF站请求伪造)与django项目的预防方法
花城的博客
10-18 2099
一、站请求伪造(CSRF)的概念二、django的CSRF令牌三、在ajax中使用csrf_token(jQuery为例)四、关于CSRF的装饰器1. 单独指定需要csrf验证的视图2. 单独指定忽略csrf验证的视图 一、站请求伪造(CSRF)的概念 CSRF全称为Cross-site request forgery,中文意为站请求伪造。它是指一种网络攻击技术:不法分子盗用身份信息并伪造请求,进行并非你本意的操作。 csrf的案例: 假设我们在浏览器中逛支付王(就当做是个很垃圾的支付平
django 中间件 CsrfViewMiddleware 200318
鲸鱼编程-python全栈
03-24 127
django如何解决问题
07-08
在Django中解决问题可以通过以下几种方式: 1. 使用Django内置的CORS支持:Django提供了一个名为django-cors-headers的第三方包,可以轻松地解决问题。安装该包后,在Django的设置文件中添加'corsheaders'到INSTALLED_APPS,并配置CORS_ORIGIN_ALLOW_ALL为True,即可允许所有名的请求。你也可以使用CORS_ORIGIN_WHITELIST来指定允许的名列表。 2. 使用中间件处理请求:在Django的中间件中添加自定义的处理请求的中间件。你可以在中间件中设置响应头部,允许指定的名进行请求。 ```python class CorsMiddleware: def __init__(self, get_response): self.get_response = get_response def __call__(self, request): response = self.get_response(request) response["Access-Control-Allow-Origin"] = "*" response["Access-Control-Allow-Methods"] = "GET, POST, PUT, DELETE, OPTIONS" response["Access-Control-Allow-Headers"] = "Content-Type, X-CSRFToken" return response ``` 将上述中间件添加到Django的中间件列表中。 3. 使用django-cors-headers和中间件结合:你也可以同时使用django-cors-headers和自定义中间件来处理请求,以便更加灵活地配置。这样可以通过django-cors-headers提供的装饰器来标记视图函数,也可以在中间件中处理通用的请求。 以上是几种常用的解决问题的方法,你可以根据具体需求选择适合的方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LyaJpunov

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值