Django学习笔记(十八):CSRF

最新推荐文章于 2019-04-22 18:00:23 发布
最新推荐文章于 2019-04-22 18:00:23 发布
阅读量193 收藏
点赞数
分类专栏: Django django 文章标签: Django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaohuoche175/article/details/81304407
版权
Django 同时被 2 个专栏收录
55 篇文章 10 订阅
订阅专栏
django
32 篇文章 8 订阅
订阅专栏

## Django防止攻击的原理

​    浏览器第一次和Django服务交互的时候 Django服务会在浏览器的cookie里加入csrftoken

​    也会在form里加入一个隐藏值

​    自己也在后台保存一份设置的那个随机字符串

​    以后如果有比如post请求的时候 服务器会去校验浏览器带过来的值是不是和服务保存一致,不一致的话 返回给浏览器403状态码

## 使用

### 后端

全局使用(禁用) 将settings.py里的csrf中间件注释掉

局部使用或禁用

from django.views.decorators.csrf import csrf_exempt(不使用CSRF验证), csrf_protect(使用CSRF校验)

### 前端:

1 form 里加{%csrf_token%}

2 ajax 请求var csrf = $.cookie("csrftoken"); 拿cookie里面的值

~~~
<script src="//cdn.bootcss.com/jquery/3.1.1/jquery.min.js"></script>
<script src="//cdn.bootcss.com/jquery-cookie/1.4.1/jquery.cookie.js"></script>
function commit() {
        var csrf = $.cookie("csrftoken");
        console.log(csrf);
        var u_name = $("#u_name").val();
        var num = $("#num").val();
        $.ajax({
            url:"/t8/csrf",
            method:"post",
            data:{
                "u_name": u_name,
                "num": num,
                'csrfmiddlewaretoken': csrf
            },
            success:function (data) {
                alert(data);
            }
        })
    }
~~~

1 解释什么是CSRF

```
跨站请求伪造Cross Site Request Forgery
```

2什么是跨站请求伪造

```
用户a 访问可信站点1做业务处理,此时浏览器会保存该网站的cookie,当用户a 访问不可信站点2时,如果站点2有指向站点1的链接时候,那么攻击就用可能发生
```

3 Django是如何实现防止攻击

```
1 当浏览器和Django服务器交互的时候 Django服务器会生成一个随机的token(字符串) 然后把这个字符串保存到浏览器的从okie里,同时在页面添加隐藏的input标签 值就是csrf_token
2 以后再和服务器做post请求的时候 前端页面要带上csrf_token
3 服务器就会去校验前端传过来的csrf_token和服务器保存是不是一致 
    if 不一致:
        return 403 禁止访问
    else:
        一致的时候 正常相应
```

4 前后端怎么使用

### 后端

全局使用(禁用) 将settings.py里的csrf中间件注释掉

局部使用或禁用

from django.views.decorators.csrf import csrf_exempt(不使用CSRF验证), csrf_protect(使用CSRF校验)

### 前端:

1 form 里加{%csrf_token%}

2 ajax 请求var csrf = $.cookie("csrftoken"); 拿cookie里面的值

```
<script src="//cdn.bootcss.com/jquery/3.1.1/jquery.min.js"></script>
<script src="//cdn.bootcss.com/jquery-cookie/1.4.1/jquery.cookie.js"></script>
function commit() {
        var csrf = $.cookie("csrftoken");
        console.log(csrf);
        var u_name = $("#u_name").val();
        var num = $("#num").val();
        $.ajax({
            url:"/t8/csrf",
            method:"post",
            data:{
                "u_name": u_name,
                "num": num,
                'csrfmiddlewaretoken': csrf
            },
            success:function (data) {
                alert(data);
            }
        })
    }
```

小火skr车
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django复习笔记:一个简单的文件分享系统
04-05
【标题】:“django复习笔记:一个简单的文件分享系统” 在这个笔记中,我们将深入探讨如何...对于学习Django的开发者来说,这是一个很好的实践项目,可以深入理解Django的工作原理,并逐步扩展到更复杂的Web应用。
Django学习笔记
10-17
本篇笔记主要介绍了如何从零开始学习Django,通过实践来理解其基本原理。 首先,安装Django是入门的第一步。在命令行环境中,使用Python的包管理工具pip安装指定版本的Django,例如Django 1.10。安装完成后,可以...
notes:学习笔记
02-15
"notes:学习笔记"是一个涵盖了广泛IT知识的学习资源集合,主要存储在名为"notes-master"的压缩包文件中。由于没有具体的标签信息,我们可以假设这个压缩包包含了一个全面的学习路径,可能涉及编程语言、软件工程、...
学习文档笔记
05-08
学习文档笔记】是一份全面涵盖前端、后端以及工具使用的学习资料集合,旨在帮助学习者巩固和深化在IT领域的知识。这份文档笔记包含了多个方面的技术内容,为个人的技能提升提供了宝贵的资源。 首先,从前端开发的...
curso_django1:存储库
02-16
【描述】:“curso_django1 储存库”指的是一个关于Django框架的学习资源集合,通常这样的存储库可能包含一系列教程、项目代码、笔记或其他辅助材料,旨在帮助用户掌握Django的使用。 【详细知识点】 1. Django...
Django学习笔记(三十六):Django读取文件内容,并进行操作后,再写入文本
小火车的博客
03-11 9471
#先将所需操作的文件放置再static目录下的一个子目录下 _change_status_root = os.path.join(STATIC_ROOT,'player_status') #mkdirs()是创建多级目录 mkdirs(_change_status_root) #用于写入错误信息的error.txt error_file_path = os.path.join(_change_s...
Django学习笔记(三十九):(BUG)ModuleNotFoundError: No module named 'django'
小火车的博客
04-11 9101
当执行python manage.py runerver报错如下,说没有找到module named ‘django’ Error Reproduce: mamerunminmatoMacBook-Pro:learning_log RunMin$ source ll_env/bin/activate (ll_env) mamerunminmatoMacBook-Pro:learning_log ...
Django学习笔记(三十一):django orm extra
小火车的博客
10-28 7297
extra 在django orm中使用复杂的sql语句 extra(select=None, where=None, params=None, tables=None, order_by=None, select_params=None) 有些情况下,Django 的查询语法难以简练地表达复杂的 WHERE 子句。对于这种情况,Django 提供了 extra() QuerySet 修改机制...
Django学习笔记(五十三):django-redis使用总结(作用介绍,操作介绍,使用场景介绍)
小火车的博客
04-22 6712
Redis 简介 Redis 是完全开源免费的,遵守BSD协议,是一个高性能的key-value数据库。 Redis 与其他 key - value 缓存产品有以下三个特点: Redis支持数据的持久化,可以将内存中的数据保存在磁盘中,重启的时候可以再次加载进行使用。 Redis不仅仅支持简单的key-value类型的数据,同时还提供list,set,zset,hash等数据结构的存...
Django学习笔记(三十二):datetime.timedelta类介绍
小火车的博客
10-28 3604
datetime.timedelta对象代表两个时间之间的时间差,两个date或datetime对象相减就可以返回一个timedelta对象。  如果有人问你昨天是几号,这个很容易就回答出来了。但是如果问你200天前是几号,就不是那么容易答出来。而在Python中datetime模块中的timedelta就可以很轻松给出答案。  函数原型:  class datetime.timedelta([d...
Django学习笔记(三):三种关系模型的实例
小火车的博客
07-28 2206
一对一:通过外键+unique唯一约束实现 #一对一 def get_bankcard(request):     bankcard = BankCard.objects.all()     return render(request,'get_bankcard.html',locals()) def get_person(request,pid):     #person = Person....
Django学习笔记(二十五):Froms表单的使用
小火车的博客
08-30 1923
学习Froms表单提交数据前,我一直是直接将数据提交到models模块(ORM),学习到表单提交数据时,方才知道其便利之处。 本章说明如何通过 Web 表单捕获数据。Django 提供的表单处理功能简单明了,根据 Django 文 档,通过这个功能可以做到: ➊ 自动生成 HTML 表单的小组件(例如文本字段或ǿ期选择器); ➋ 检查提交的数据是否满足验证规则; ➌ 遇到验证错误时重新显...
Django学习笔记(二十三):Celery异步操作发送邮件
小火车的博客
08-07 1578
异步操作发送邮件 在settings.py里添加邮箱配置 from os import environ # 邮件配置 EMAIL_USE_SSL = True EMAIL_HOST = 'smtp.qq.com' # 如果是 163 改成 smtp.163.com EMAIL_PORT = 465 EMAIL_HOST_USER = environ.get("EMAIL_SENDER...
Django学习笔记(四十二):authenticate django自带用户认证函数返回值None问题解决
小火车的博客
04-13 1543
user = User.objects.create_user(username, email, password) user = authenticate(username=username, password=password) 正常情况下通过django自带的用户创建函数create_user进行用户创建,可将用户密码进行加密,再用authenticate函数就可以对用户名和密码进行校验...
Django学习笔记(四十三):使用redis进行页面数据缓存和更新缓存数据
小火车的博客
04-15 1505
在开发过程中会遇到一些页面的数据是很长时间才进行更新的,不使用缓存的情况下,用户每次访问这些都需要先去数据库中获取这些数据,当访问量较大时,这样获取数据的方式就会降低页面的访问速度,影响效率,这时就可以使用redis将这些数据保存起来,通过判断是否生成过获取以及是否更新过数据来生成新的缓存数据 具体操作如下: 在settings.py里添加缓存设置 # Django的缓存配置 CACHES...
Django学习笔记(四十四):使用Paginator分页器进行分页
小火车的博客
04-15 1353
使用Paginator分页器进行分页 用实例进行分析 views.py部分 # 种类id 页面 排序方式 # restful api -> 请求一种资源 # /list?type_id=种类id&page=页码%sort=排序方式 # list/种类id/页码?/sort=排序方式 class ListView(View): '''列表页''' def get...
Django学习笔记(二十四):Celery里的定时任务
小火车的博客
08-07 1233
定时任务 在settings.py中添加定时任务配置 CELERYBEAT_SCHEDULE = { #任务名称,长度不限,尽量详细说明 'every-10-seconds-run-first_task':{ #第一个参数(homework)指app名, #第三个参数(first_task)指调用tasks.py下的哪一个方法 ...
Django学习笔记(五十):处理并发问题,悲观锁,乐观锁
小火车的博客
04-17 1026
处理并发问题时,常见的方式就是悲观锁和乐观锁 悲观锁的处理方法可以理解为在一个进程中执行数据操作的时候进行加锁操作,并只有事务结束时,锁才能释放,另一个进程才能执行才能执行这个相同的数据操作。 django中使用orm实现悲观锁的添加通过select_for_update()方法 # select * from df_goods_sku where id=sku_id for upd...
Django学习笔记(四十五):haystack全文检索框架+whoosh搜索引擎+jieba分词实现全文检索功能
小火车的博客
04-15 1004
全文检索不同于特定字段的模糊查询,使用全文检索的效率更高,并且能够对于中文进行分词处理。 haystack:全文检索的框架,支持whoosh、solr、Xapian、Elasticsearc四种全文检索引擎,点击查看官方网站。 whoosh:纯Python编写的全文搜索引擎,虽然性能比不上sphinx、xapian、Elasticsearc等,但是无二进制包,程序不会莫名其妙的崩溃,对于小型的...
Django学习之路:从入门到实践
"这是一份关于Django学习笔记,作者参考了B站上的千锋教育视频。笔记涵盖了从创建项目、配置数据库到操作模型、模板、URLs和视图等核心概念。" 在深入Django框架的学习过程中,首先了解如何创建项目至关重要。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值