Django的csrf豁免:解决CSRF验证失败,请求被中断问题

最新推荐文章于 2024-04-28 22:07:52 发布
最新推荐文章于 2024-04-28 22:07:52 发布
阅读量1.3w 收藏 19
点赞数 9
分类专栏: Django基础知识 文章标签: django csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanfate/article/details/107675783
版权

1.CSRF介绍

跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
这里推荐一篇文章,个人感觉写的不错:Python中csrf攻击与防御

2.解决csrf的问题/csrf豁免

csrf豁免有三种方式,如下:
创建子路由:

url(r'^testCsrf/',views.testCsrf),

生成视图函数:

def testCsrf(request):
    return HttpResponse('testCsrf')

使用postman,进行操作
在这里插入图片描述

(1)注释中间件
在settings中找到MIDDLEWARE,注释掉:‘django.middleware.csrf.CsrfViewMiddleware’,即可成功
在这里插入图片描述

注意:如果注释,所有的csrf都避过了post请求

(2)在方法上添加 @csrf_exempt

@csrf_exempt
def testCsrf(request):
    return HttpResponse('testCsrf')

运行结果:
在这里插入图片描述
(3)在表单中添加{%csrf_token%}

def testCsrf(request):
    if request.method == 'GET':
        return render(request,'testCsrf.html')
    elif request.method == 'POST':
        return HttpResponse('testCsrf')

创建testCsrf.html模板:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <form action="/sess/testCsrf/" method="post">
        {% csrf_token %}
        <button>提交</button>
    </form>
</body>
</html>

运行结果:
点击前:
在这里插入图片描述
点击后:
在这里插入图片描述

实现机制:
  页面中存在{% csrf_token %}时
  在渲染的时候,会向Response中添加 csrftoken的Cookie
  在提交的时候,会被添加到请求体中, 会被验证有效性

奋斗的源
关注
  • 9
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
禁止(403)CSRF验证失败请求中止即使使用{%csrf_token%}
dituirenwu的博客
02-26 2086
CSRF验证失败请求中止在Django
dituirenwu的博客
02-26 732
关于django 1.10 CSRF验证失败解决方法
01-01
最近工作闲,没事自学django,感觉这个最烦的就是各版本提供的api函数经常有变化,不是取消了就是参数没有了,网上搜到的帖子也没说明用的是什么版本的django,所以经常出现搬运过来的代码解决不了问题的情况,不过基本上遇到的坑不多,最坑的就是在提交post表单时弄了两天的CSRF验证失败问题,特此记录一下,我用的是django 1.10.3: 如果你不想使用这个功能,直接找到settings.py中的’django.middleware.csrf.CsrfViewMiddleware’,这一行,直接给丫注释掉,就不用启动CSRF检查了,一了白了,当然了如果你是练手的时候这么干还行,正式一点
禁止访问 (403)CSRF验证失败. 请求中断.
glei20的博客
10-31 1454
禁止访问 (403)CSRF验证失败. 请求中断.您看到此消息是由于该站点在提交表单时需要一个CSRF cookie。此项是出于安全考虑,以确保您的浏览器没有被第三方劫持。如果您已将浏览器
Django之Origin checking failed - https://40a7fe29.r27.cpolar.top does not match any trusted origins.
最新发布
m0_62155641的博客
04-28 179
这个问题通常是由于浏览器的跨域安全机制引起的,它会检查请求的来源(Origin)是否在目标网站的信任列表中。如果请求的来源不在目标网站的信任列表中,浏览器就会拒绝该请求,以保护用户的隐私和安全。或者(以下方法纯为本作者为了配合cpolar使用,望慎用)可以在setting.py中添加。
djangoCSRF问题解决
06-05
CSRF是Cross Site Request Forgery的缩写,称其为“跨站请求伪造”。常与XSS想提并论,但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以有时候被认为比XSS更具危险性。
Django CSRF验证失败
sterson的博客
02-06 835
3,在app的views.py文件中导入from django.template import RequestContext。加入django.middleware.csrf.CsrfViewMiddleware。解决方法之二是不使用csrf验证(不推荐),去掉方法一中所有设置即可。2,在项目 setting.py文件中的MIDDLEWARE。访问被禁止,提示csrf验证失败请求中断,如下图。
访问django后台,提示CSRF验证失败. 请求中断.Referer checking failed - **** does not match any trust
weixin_37770279的博客
04-28 9777
1.非debug模式看到的报错 2.settings打开debug模式,才能把报错信息看的详细 3.去settings.py中,找到CsrfViewMiddleware 中间件,点击进入 4.搜索匹配报错信息 5.往下看看用到这个关键字的地方 6.从源码第一行开始看 7.settings.py,添加这句代码 CSRF_TRUSTED_ORIGINS = ['http://192.168.1.200'] 8.重新启动项目,然后访问后台,可以了 ...
Django中ajax发送post请求 报403错误CSRF验证失败解决方案
09-18
主要介绍了Django中ajax发送post请求 报403错误CSRF验证失败解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
解决django前后端分离csrf验证问题
12-31
这种方方式使用ensure_csrf_cookie 装饰器实现,且前端页面由浏览器发送视图请求,在视图中使用render渲染模板,响应给前端,此时这个渲染模板的视图函数上要加上这个装饰器 这种方式保证了模板返回时,前端接收到的...
POSTMAN解决CSRF问题小技巧
09-01 1659
Postman使用小技巧
生产环境访问django后台,提示CSRF验证失败. 请求中断
点滴记忆
06-25 390
解决方法: 登录后复制settings.py 添加这句代码,域名改为你前端ngx的域名 CSRF_TRUSTED_ORIGINS = ['https://xxxx.demo.com']
禁止访问 (403) CSRF验证失败. 请求中断.————错误处理(测试接口时遇到的问题
Kinght_123的博客
01-06 3023
问题描述 解决措施 在Header参数中添加Content-Type和X-CSRFToken信息,这样就不会报错了。 运行结果
python_django_禁止访问 _CSRF验证失败. 请求中断_更多信息请设置选项DEBUG=True。
热门推荐
jss19940414的博客
03-07 1万+
问题描述: 访问一个url时,回有一个注册页面的响应,输入对应的信息后,单击注册按钮进行提交进行页面跳转,显示禁止访问 _CSRF验证失败. 请求中断_更多信息请设置选项DEBUG=True。 解决方案: 将settings.py文件的MIDDLEWARE中的csrf设置注掉后,再次运行,问题解决。 、 备注:这样虽然能进行访问,但是不安全, 允许跨站进行请求,详情请阅读 h...
django 开启CSRFtoken校验,以及postman实现问题
xiameimei_win的博客
11-30 900
Django postman csrf校验
Django基础】2、Django CSRF 引起的403解决方法
陈建华的博客
07-02 518
form表单 <form class="am-form" id="edit" method="post" action="/submit/">{% csrf_token %}</form> js请求 function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie != '') { var cookies = docume
Django CSRF验证失败. 请求中断.
.G();的博客
03-24 1564
项目场景: Python版本:3.7 Django版本:3.1.7 问题描述: 出现了CSRF验证失败. 请求中断. 原因分析:   在Django中有个设定,防止跨域来请求。比如有爬虫,爬虫不是从网站根目录开始搜寻,而是从另一个地址直接发送请求到相应的应用程序action上,最终导致服务有瘫痪危险。 解决方案: 直接在相应页面上添加{% csrf_tocken %}允许页面csrf验证. ...
解决:禁止访问 (403) CSRF验证失败
lyw5200的博客
10-27 5309
在测试Django框架POST请求方式时,程序报错如下 在确保访问安全的情况下有一下两种方式: 1、在相应html文件form代码块中添加如下代码: <form method="post" action="/method_show/"> {% csrf_token %} <!-- 改行代码为添加部分 --> <input type="submit" value="post方式"> </form> 但是仅仅添加这句代码,...
"detail": "CSRF Failed: CSRF token missing."
11-05
"detail": "CSRF Failed: CSRF token missing."这个错误提示表明在Django接口请求中缺少CSRF token,导致验证失败CSRF token是一种安全机制,用于防止跨站请求伪造攻击。在Django中,当用户登录并访问受保护的页面时,Django会生成一个CSRF token,并将其存储在用户的cookies中。当用户提交表单时,Django会检查表单中的CSRF token是否与cookies中的CSRF token匹配,以确保请求是合法的。如果请求中缺少或错误地提供了CSRF token,则会出现"CSRF Failed: CSRF token missing."这个错误提示。 解决这个问题的方法是在请求中包含正确的CSRF token。可以通过在表单中添加{% csrf_token %}标签来自动生成CSRF token,并将其包含在POST请求中。另外,还可以在请求头中添加X-CSRFToken字段,将cookies中的CSRF token作为值传递。如果使用的是第三方库发送请求,则需要查看该库的文档,了解如何在请求中包含CSRF token。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值