django的前后端分离的csrf_token加入

最新推荐文章于 2024-11-20 02:56:49 发布
原创 最新推荐文章于 2024-11-20 02:56:49 发布 · 329 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#django

本文介绍了三种实现CSRF保护的方法:手动调用get_token或rotate_token方法;在HTML模板中使用{%csrf_token%}

1 手动调用 csrf 中的 get_token(request) 或 rotate_token(request) 方法。

from django.middleware.csrf import get_token ,rotate_token
 
def server(request):
 	# 两者选一
    get_token(request)       
    # rotate_token(request)   // 此方法每次设置新的cookies
 
    return render(request, ‘server.html‘)

2 在HTML模板中添加 {% csrf_token %}


    <form action="/login/" method="post">
        {% csrf_token %}
        <input type="text" name="user" />
        <input type="text" name="pwd" />
        <input type="checkbox" name="rmb" value="1" /> 10s免登录
        <input type="submit" value="提交" />
        <input id="btn" type="button" value="按钮">

3 在需要设置cookie的视图上加装饰器 ensure_csrf_cookie()


from django.views.decorators.csrf import ensure_csrf_cookie
 
@ensure_csrf_cookie
def server(request):
 
    return render(request,'server.html')
django前后端分离csrf解决办法
qq_42402381的博客
08-30 3389
之前学习django时,总是把那个csrf的中间件注释掉,现在把这个bug修复吧。 1.定义csrftoken接口,主要是为前端设置csrftoken,相关代码如下: from django.middleware.csrf import get_token def getToken(request): token=get_token(request) return Http...
Django:Ajax与csrf_token
HR_tigerking的博客
12-20 1061
起因:Ajax提示403错误 闲言碎语:据课程结束还有一周多,js杀我,要加油加油。 CSRF(Cross Site Request Forgery protection),中文简称跨站请求伪造。 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局...
解决django前后端分离csrf验证的问题
09-19
今天小编就为大家分享一篇解决django前后端分离csrf验证的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
django前后端分离_CSRF解决方案
sola_酱的博客
06-21 2024
前言 现在都是采用前后端分离的方式,所以并不能采用传统的发送,直接在渲染页面的时间加上csrftoken。 我也看好多网上写的方案,都乱,所以我总结一下: 首先有两张方法,都是直接关掉csrf的,一个是在setting.py里面关掉csrf中间件,另一种是在view视图里面加上装饰器,以达到我们的目的,都是我觉得这样的方式太激进了,不行我们就关掉?我不喜欢这样的方法,所以我在下面没有介绍,如果你们也想这样,可以去看看别人写的,有思路,找起来也不难。 不关闭csrf的解决方案 思路 想办法在静态页面生成的
Python开发【Django】:中间件、CSRF
abchhcba2014的博客
02-04 380
CSRF 1、概述   CSRF(Cross Site Request Forgery)跨站点伪造请求,举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。   为了避免上面情况的出现,Djang...
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
关于django中的csrf_token
weixin_43700349的博客
05-01 1235
什么是csrf_token csrf_tokendjango的一种安全机制,增加验证,是否是通过get请求先访问页面,然后再进行的提交,否则无法直接提交 当以form表单提交时,django会自动处理csrf_token 但是当使用ajax提交时,不会像form表单那样自动处理,必须手动获取 如何避免csrf_token报错 在from表单中加入{% csrf_token %} <form action='{% url 'LOGIN' %}' method="post"> ..
刨析Django----前后端分离的项目及token
weixin_45228198的博客
12-17 1131
目录会话保持前后端分离前后端分离优化注册项目 会话保持 什么是会话保持 前后端分离 Cookie、session 前后端分离 JWT, Json Web Token 优化注册项目 使用JWT进行会话保持,优化前后端分离Django与Vue注册项目。 ...
Django 前后端分离项目中CSRF报403解决方法
最新发布
m0_52168095的博客
11-20 487
允许跨域发送cookie,因为Django 验证csrf需要验证cookie,同时这里Django后端也要配置允许跨域发送cookie。(我这里用的是TS脚本,所以多定义了一个CSRFBACK来控制解析方法的返回值。于是从研究Django验证机制的原理出发,终于找到解决方案。MIDDLEWARE 中'django.middleware.csrf.CsrfViewMiddleware'有了csrf token后,根据官方文档在post请求时要将其放入请求头的。前后端分离项目主要前端首先要拿到csrf令牌,
前后端分离解决CSRF问题
ws_flying的博客
10-22 3599
个人记录,如有错误,敬请指出 项目环境:spring boot+shiro+jwt 简单方式直接通过nginx对Referer进行校验拦截即可,本文不做讲解 1、创建CsrfFilter import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.ht
spring-security 前后分离如何获取csrf-token
n_rts的博客
02-16 4702
spingboot+security 前后端分离支持csrf
Django框架(二十四:前后端分离之分页的设置和csrf认证的解决)
qq_41989320的博客
12-03 2510
前后端分离开发和混合开发的区别还是很大的。前后端分离我们需要遵循restful规范,先介绍什么是restful api规范 a.同一种数据的操作,只设置一个url路由。也就是根据请求方法来区分具体的处理逻辑。而不再设置多个增删改查的路由。 (1)可以基于FBV来通过请求方法的不同,处理不同的逻辑。 url(r'^order/', views.order), ...
django前后端分离csrf验证的解决方法
HYESC的博客
06-07 8027
django前后端分离csrf的解决方法 第一种方式ensure_csrf_cookie 这种方方式使用ensure_csrf_cookie 装饰器实现,且前端页面由浏览器发送视图请求,在视图中使用render渲染模板,响应给前端,此时这个渲染模板的视图函数上要加上这个装饰器 这种方式保证了模板返回时,前端接收到的响应中有csrftoken这个cookie,方法见代码。 以上方法并没有严...
关于前后端分离时,如何解决djaogo的CSRF问题
LKMMKL
11-24 514
先说一句,这里我还没有找到我觉得合理的解决方案,记录了一些概念性的东西,还有别人的一些解决方法,但是我总觉得有点问题,希望有路过的同学,如果看明白了我的疑惑,能帮我解惑一下 1.如果前后端都使用django来完成,那么这个CSRF防御应该是挺好解决的,可以在表单中加入{% csrf_token %}来完成。 <form action="add_book" method="post"> ...
【深入浅出 Spring Security(八)】前后端分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 4829
前后端分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
Django前后端分离CSRF的处理方法
MSB4011的博客
05-19 581
具体方式:通过调用middleware.csrf的get_token(request)函数设置csrftoken
关于前后端分离项目中CSRF等一系列问题的理解小结
MSB4011的博客
07-06 1020
CSRF和CORS的问题上搞了这么久,一个是因为平时工作忙,学这些东西陆陆续续的,另外也确实是因为这些个问题一环套一环,想要完全解决掉需要理解并处理很多问题同时,自己对于这个问题最终通过服务端允许跨域+前端保持相同ip的解决方式并不满意,后续将尝试使用Node.js代理的方式来解决个问题。
前后端分离django-restframework——解决跨域请求
小蜜蜂vs码农
07-02 1961
前后端分离django-restframework——解决跨域请求
django {% csrf_token %}
05-16
Django中的CSRF(Cross Site Request Forgery)是一种攻击方式,攻击者利用用户已登录的状态,伪造用户的请求,从而执行一些...在提交表单时,Django会自动将CSRF令牌添加到表单数据中,并在服务器端验证令牌的有效性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值