ajax使用js动态生成form表单,post方式提交添加crsf验证内容(不用jquery,只用原生js语句)

最新推荐文章于 2022-06-16 11:23:02 发布
最新推荐文章于 2022-06-16 11:23:02 发布
阅读量536 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaotuwai8/article/details/105022792
版权

在项目的setting中
‘django.contrib.auth.middleware.AuthenticationMiddleware’,
取消这一句的注释后,所有post提交的form都需要进行crsf验证,否则报403错误(CSRF验证失败. 请求被中断.)。对于直接渲染的页面,可以在body里加上{% csrf_token %},即可自动渲染。
但是对于使用javascrip动态创建表单生成,如何解决?
网上搜出来的解决方案基本都是基于jquery的,由于没学过jquery,走了很多弯路,最终我的方法是只使用原生js实现如下(有机会我还是要学一下jquery):

1、{% csrf_token %}的实质:

     通过查看渲染后的页面的源代码,可以发现,在生成的页面中{% csrf_token %}变成了:

<input type="hidden" name="csrfmiddlewaretoken" value="FpbuglQU28OlxiyxqUCPvmK6vZRNteN6bQ875zGyPh5ZgncodkKOKy3mML7TjPHj">

其中的value是动态生成的,服务器通过验证value的值实现csrf验证,实质是一个name为"csrfmiddlewaretoken" 的隐藏的input,知道这个就好办了,我们可以通过js提交表单前抓取这个控件的值,然后和data一并提交即可通过验证。

2、实现:

作为一个萌新,我的ajax动态提交表单采用了两种写法:

写法1:
var f = document.createElement('form');   //动态创建一个表单
f.style.display = 'none';
f.action = '/techapp/slurrytestplan/';
f.method = 'post';
f.target = '_blank';  //在新窗口打开
var str="<input type=\"hidden\" name=\"csrfmiddlewaretoken\" value=\""+document.getElementsByName('csrfmiddlewaretoken')[0].value+"\">";
str += '<td><input type="hidden" name="n_w_name" value="' + n_w_name + '"/></td>';      
f.innerHTML = str;     
document.body.appendChild(f);
f.submit(); //提交动态创建的表单到后端,后端用reque.POST.get()获取内容,实现传参

这种写法简单粗暴,直接用html语言写一个form提交,因此直接写了一个全套的csrf控件,值通过读取所调用页面的csrf的值,经测算成功。

写法2 :
var fd = new FormData();
var wellname = document.getElementById('searchwitchwellname').value;
fd.append('csrfmiddlewaretoken',document.getElementsByName('csrfmiddlewaretoken')[0].value);
fd.append('searchedwellname', wellname);
var xhr = new XMLHttpRequest();
xhr.open('post', '/techapp/searchdesigndata/');
xhr.send(fd);  /* 通过send函数将数据发给服务器 */

这种写法通过append方法给表单添加数据,因此使用字典的方式增加了’csrfmiddlewaretoken’和他的值document.getElementsByName(‘csrfmiddlewaretoken’)[0].value,经测试此方法也成功通过验证。

xiaotuwai8
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ajax实现post提交数据
weixin_39218464的博客
02-11 4504
方法一: 1.禁用提交οnsubmit=“return false” 2.tp框架控制器不可以用new Request方式调用请求类方法,改用静态调用Request请求类 前端form <form onsubmit="return false" class="form-horizontal" id="login" > <div c...
jQuery动态创建form提交到后台(携带一定的数据进行页面跳转)
weixin_34279246的博客
03-07 732
     今天遇到这么一个需求,携带一个编号一个名字跳转到另一个JSP页面,直接页面跳转(get携带数据)的话不太安全,于是想到到后台转发一下。   第一种:直接以提交方式的进行   JS代码: var form = $("&lt;form action='"+contextPath+"/trainacontentType_forwardToAddTraincon...
js动态生成form 并用ajax方式提交的实现方法
10-21
下面小编就为大家带来一篇js动态生成form 并用ajax方式提交的实现方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
crsf验证
weixin_45578684的博客
06-16 95
crsf
【转】Ajaxpost方式提交数据
dishuangqing3232的博客
08-14 96
【原文地址】http://my.donews.com/xinna/2006/11/17/knfjfgdbbcbwnvseezabtazkutzojwetjjdp/ <SCRIPT LANGUAGE=”javascript”> <!– function saveUserInfo() { //获取接受返回信息层 var msg...
【强制】AJAX 提交必须执行 CSRF 安全过滤。
热门推荐
萧逸才的博客
03-24 1万+
CSRF(Cross - site request forgery) 跨站请求伪造是一类常见编程漏洞。对于存在 CSRF 漏洞的应用/网站,攻击者可以事先构造好 URL ,只要受害者用户一访问,后台便在用户 不知情情况下对数据库中用户参数进行相应修改。思路:1、跳转页面前生成随机token,并存放在session中2、form中将token放在隐藏域中,保存时将token放头部一起提交3、获取头
模型遥控器 CRSF 协议数据格式
03-08
模型遥控器 CRSF 协议数据格式
betaflight-crsf-tx-scripts:脚本集,通过CRSF从TX配置Betaflight
05-09
betaflight-crsf-tx-scripts 脚本集,用于通过CRSF从TX配置Betaflight。 支持的收音机 FrSky Taranis QX7,QX7S,X9D,X9D + 安装 升级到Betaflight 3.4(内部版本792或更高版本)。 将crsfdp.lua文件复制到crsfdp...
Django 接收Post请求数据,并保存到数据库的实现方法
09-19
今天小编就为大家分享一篇Django 接收Post请求数据,并保存到数据库的实现方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
CSRF漏洞挖掘技巧20200428.docx
04-28
主要涉及CSRF漏洞挖掘技巧,最新版csrf漏洞通用POC生成方法,CSRF漏洞修复方法,在页面没有设置token或者TOKEN可以被破解时挖掘csrf,然后通过POC进行验证,本文仅限于CSRF漏洞挖掘等学习
常用遥控器 CRSF数据协议格式,也称黑羊协议,现在的ELRS都用的这个协议
11-28
常用遥控器 CRSF数据协议格式,也称黑羊协议,现在的ELRS都用的这个协议
CSRF保护和验证
mashaokang1314的博客
07-29 4832
什么是CSRF? CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack“或者Session Riding,通常缩写为CSRF或XSRF,是一种对网站的恶意攻击。是一种依赖web浏览器的、被混淆过的代理人攻击。 常见特性 依靠用户标识危害网站 利用网站对用户识的信任 欺骗用户的浏览器发送HTTP请求给目标站点 可以通过IM...
利用jquery.form.js实现将form提交转为ajax方式提交的方法(带上传的提交
weixin_34060299的博客
06-23 210
提供一种方法就是利用jquery.form.js。 (1)这个框架集合form提交验证、上传的功能。 核心方法 -- ajaxForm() 和 ajaxSubmit() $('#myForm').ajaxForm(function() {   alert("提交成功!欢迎下次再来!"); }); $('#myForm2').submit(functi...
【Django】csrf验证
wuye24h
08-22 203
csrf是Django自带的验证方式,能够避免一些恶意请求 在这里主要提供几种采用方式 1、注释中间件中的csrf的中间件,让Django不采用相关的验证。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190822193855247.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,s...
crsf验证处理
MrsJing的博客
07-27 202
1.C:\Windows\System里面添加文件cacert.pem 2.php.ini中设置:curl.cainfo =“C:\Windows\System\cacert.pem”
ajax批量下载文件,动态构建一个Form 并且提交获取返回的文件流
wan26com的专栏
03-14 1702
//批量下载文件(打包) function button_downloadplus(url) { var rows = $('#exampleTableEvents').bootstrapTable('getSelections');    //返回所有选择的行,当没有选择的记录时,返回一个空数组 var $table = $("#exampleTableEvents");  ...
阿里巴巴 JAVA开发手册之AJAX 提交必须执行 CSRF 安全验证 思路流程及代码示例
weixin_42589778的博客
08-29 594
介绍:CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,C...
Last Loaded 8只数码管滚动显示数字串.DBK
最新发布
06-03
Last Loaded 8只数码管滚动显示数字串.DBK
python+flask+crsf
12-07
使用Flask-WTF时,需要在添加一个隐藏字段,该字段包含一个加密的token,用于验证提交的来源是否合法。Flask-WTF会自动为每个生成一个CSRF token,并将其添加中。 以下是一个使用Flask-WTF...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值