django项目之csrf跨域问题

最新推荐文章于 2024-06-04 07:33:37 发布
最新推荐文章于 2024-06-04 07:33:37 发布
阅读量224 收藏 1
点赞数
分类专栏: 前端 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45223595/article/details/109771517
版权

问题:
Forbidden (CSRF token missing or incorrect.)

原因:
django,会对合法的跨域访问做这样的检验,cookies里面存储的’csrftoken’,和post的header里面的字段”X-CSRFToken’作比较,只有两者匹配,才能通过跨域检验。否则会返回这个错误:CSRF Failed: CSRF token missing or incorrect

解决方法:

1.直接将settings中’django.middleware.csrf.CsrfViewMiddleware’,注释掉(开发时最好别用,会产生系统漏洞,测试时随便玩玩)
2.直接在后端的api接口处,添加@csrf_exempt装饰器,此装饰器的作用是:将视图功能标记为不受CSRF视图保护,也不是特别好
3.前端在发送post请求的时候,同cookies中存储的token进行匹配

getCookie(name) {
      var value = '; ' + document.cookie;
      var parts = value.split('; ' + name + '=');
      if (parts.length === 2) return parts.pop().split(';').shift()
  },
  
{headers: {'X-CSRFToken': this.getCookie('csrftoken')}}

在这里插入图片描述

我是清茶!欢迎你和我一起讨论,我们下期见。

等一杯清茶
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java csrf _Django请求CSRF的实例方法
weixin_42190030的博客
02-23 149
Django请求CSRF详解web请求1.为什么要有限制举个例子:1.用户登录了自己的银行页面 http://mybank.com,http://mybank.com向用户的cookie中添加用户标识。2.用户浏览了恶意页面 http://evil.com。执行了页面中的恶意AJAX请求代码。3.http://evil.com向http://mybank.com发起AJAX HTTP请...
Django请求CSRF的方法示例
01-20
web请求 1.为什么要有限制 举个例子: 1.用户登录了自己的银行页面 http://mybank.com,http://mybank.com向用户的cookie中添加用户标识。 2.用户浏览了恶意页面 http://evil.com。执行了页面中的恶意AJAX...
django后端设置允许csrf请求
laomao9112的博客
09-10 280
django后端设置允许csrf请求 首先pip安装django-cors-headers 在settings中配置如下 INSTALLED_APPS = [ ...... 'corsheaders', ...... ] MIDDLEWARE = [ ...... 'corsheaders.middleware.CorsMiddleware', 'django.middleware.common.CommonMiddleware', ......
问题Django解决方案:深入解析原理、请求处理与CSRF防护
最新发布
啊猪是的读来过倒的博客
06-04 1139
问题在Web开发中如影随形,而Django框架为我们提供了解决方案。本文将解析原理,并介绍Django中处理请求与CSRF防护的策略,助您轻松应对挑战。当一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为当前页面url被请求页面url是否原因否同源(协议、名、端口号相同)协议不同(http / https)名不同(baidu / google)名不同(www / blog)端口号不同(8080 / 8888)
django访问及CSRF防护
dangfulin的博客
09-17 722
一,什么是访问? 二,django设置访问 三,djangoCSRF防护
Django CSRF_TOKEN攻击处理
Rick的专栏
03-25 909
1.setting 文件中MIDDLEWARE_CLASSES中加入django.middleware.csrf.CsrfViewMiddlewar2.view(建议所有视图中都加上RequestContext):def faq(request): c = RequestContext(request) ... ... return render_to_respons
Django-问题Csrf
Lyajpunov的博客
02-11 222
防⽌⽹站受第三⽅服务器的恶意攻击,csrf相当于在表达中增加了⼀个隐藏的input框,⽤于向服务器提交⼀个唯一的随机字符串⽤于服务器验证表单是否是本服务器的表单。 在settings中我们设置过这个中间件,默认是开启的,我们可以注释掉并不开启 MIDDLEWARE = [ 'django.middleware.csrf.CsrfViewMiddleware', ] 一、前后端不分离 我们开启的情况下可以设置一下我们的表单 <form action="" method="post">
浅谈django rest jwt vue 问题
09-20
在开发Web应用时,特别是在使用现代前后端分离的技术栈,如Django REST、JWT和Vue.js时,问题是一个常见的挑战。这篇文章将探讨如何处理这些框架下的问题。 首先,我们需要理解什么是问题是指一...
django解决请求的问题详解
09-19
Django是一个流行的Python Web框架,当它作为后端服务器时,可能会遇到前端请求的问题。以下是对Django解决请求问题的详细讲解。 ### 解决方案1:使用`django-cors-headers`库 `django-cors-headers`是一...
django 取消csrf限制的实例
09-17
本文将详细介绍如何在Django中取消CSRF限制,并探讨在前后端分离项目中处理CSRF Token和问题的方法。 首先,要取消Django中的CSRF限制,你可以使用`django.views.decorators.csrf.csrf_exempt`装饰器。这是一个...
Django 解决CSRF 问题总结
zhouzhiwengang的专栏
08-10 493
问题描述:使用postman 测试后台服务接口提示如下截图错误信息 解决办法: 方式一:注释Django 中间件之django.middleware.csrf.CsrfViewMiddleware Django 项目中间件配置文件位置:Django项目相对路径/settings.py 方式二:通过导入csrf_exempt 装饰器 第一步:引入csrf_exempt 装饰器, 添加如下代码片段 from django.views.decorators.csrf import c...
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。 教你如何在AJAX请求上设置令牌。
Django中解决csrf问题
IT菜鸟
06-30 1083
参考博客 post请求实现方案小结--转 一、问题综述 1. 同源:协议,名,端口相同 2. 同源策略:一个名下面的js,没有经过允许是不能读取另外一个名的内容,浏览器不允许js访问别的,但是浏览器不阻止你向另外一个名发送请求。 2.CSRF(Cross-site request forgery)站请求伪造,也被称为“One Click Attack”或者Sess...
Django中使用ajax post向后台传送数据时会出现403 Forbidden (CSRF token missing or incorrect.)django中配置允许请求,前后端分离
kunwen123的博客
04-13 185
Django前后端分离请求问题 http://t.zoukankan.com/randomlee-p-9752705.html django中配置允许请求 https://wenku.baidu.com/view/0c200a11ed06eff9aef8941ea76e58fafbb0455d.html 在Django中使用ajax post向后台传送数据时会出现403 Forbidden (CSRF token missing or incorrect.): 的报错 https://blog.cs
django csrfMiddleware的一些理解&站和
General_zy的博客
11-05 658
但是需要注意的是,仅仅依靠请求的限制是不够的,因为攻击者可能通过其他手段窃取到用户的Cookie信息,例如使用钓鱼网站欺骗用户输入用户名和密码等敏感信息,从而获取用户的Cookie。但是需要注意的是,这种限制仅仅是在浏览器层面上生效的,如果攻击者使用其他方式(例如在服务器端发起请求)绕过了浏览器的限制,则依然可能窃取到用户的Cookie信息,造成安全威胁。因此,在开发时应该采取多种措施,例如限制Cookie的作用、使用安全的传输协议(如HTTPS)、对Cookie进行加密等,来保护用户的安全。
django中的csrf / View/ APIView
小小臭臭的博客
11-13 309
今天在项目中遇到一个问题: 接口继承View时, 出现CSRF, 403 接口继承APIView时, 未出现CSRF异常, 究其原因, 发现是APIView中过滤了,CSRF验证 如果不使用APIView, 怎么解决 https://www.cnblogs.com/rgcLOVEyaya/p/RGC_LOVE_YAYA_692days_802_1.html ...
Django 配置CSRF站点请求伪造)保护
qq_39046786的博客
06-16 2555
Django 配置CSRF站点请求伪造)保护 配置 在项目的setings.py文件中 添加如下。 MIDDLEWARE = [ 'django.middleware.csrf.CsrfViewMiddleware', ] 请求伪造保护实现主要分为两步 第一步: DjangoCSRF 保护要求请求的Referer 标头与标头中存在的来源相匹配Host。例如,这可以防止针对 的POST请求subdomain.example.com成功api.example.com。如果您需要
简析django源码中对csrf的处理
nibuyaoshiwang的博客
01-13 174
csrf 站点请求伪造(Cross—Site Request Forgery),具体过程如下: 用户登录后访问某网站A,将cookies存在浏览器。 在未退出的情况下访问另一个网站B,这时候携带的信息就会全部发给B。 网站B拿着你的信息又去访问A,这样就造成了站请求伪造。 解决方案 检验http headers中的Referer,它的内容就是这次http请求的网站地址。对于服务端来说,在请求头部信息里我们可以过滤出有害请求地址的黑名单。 添加随机参数token,来每一次请求到来后,对比token值
django 常用装饰器
python小菜鸡的博客
05-21 8192
1:返回操作成功的json数据def response_success(message, data=None, data_list=[]): return HttpResponse(json.dumps({ 'code': 2000,#code由前后端配合指定 'message': message,#提示信息 'data': data,#返回...
django如何解决问题
07-08
Django中解决问题可以通过以下几种方式: 1. 使用Django内置的CORS支持:Django提供了一个名为django-cors-headers的第三方包,可以轻松地解决问题。安装该包后,在Django的设置文件中添加'corsheaders'...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值