Django 解决CSRF 跨域问题总结

最新推荐文章于 2024-04-17 04:04:25 发布
最新推荐文章于 2024-04-17 04:04:25 发布
阅读量539 收藏
点赞数
分类专栏: python 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouzhiwengang/article/details/119576360
版权
这篇博客介绍了在使用Postman测试Django后台服务接口时遇到的CSRF错误问题及其两种解决方法。方法一是临时注释掉settings.py中的CsrfViewMiddleware中间件,方法二是通过在视图函数上应用csrf_exempt装饰器,但后者可能带来安全性问题。
摘要由CSDN通过智能技术生成

问题描述:使用postman 测试后台服务接口提示如下截图错误信息

 解决办法:

方式一:注释Django 中间件之django.middleware.csrf.CsrfViewMiddleware

Django 项目中间件配置文件位置:Django项目相对路径/settings.py

 方式二:通过导入csrf_exempt  装饰器

第一步:引入csrf_exempt  装饰器, 添加如下代码片段

from django.views.decorators.csrf import csrf_exempt

在后台业务方法中,添加csrf_exempt  装饰器

from django.views.decorators.csrf import csrf_exempt

@csrf_exempt  #这个装饰器含义代表在接受request请求的时候不考虑csrf token,所以也是不安全的。
def test(request):
    if request.method == "GET":
        return render(request, 'book/csrf_test.html')
    if request.method == "POST":
        return HttpResponse("提交成功")

在奋斗的大道
关注
专栏目录
django前后端分离csrf解决办法
qq_42402381的博客
08-30 3287
之前学习django时,总是把那个csrf的中间件注释掉,现在把这个bug修复吧。 1.定义csrftoken接口,主要是为前端设置csrftoken,相关代码如下: from django.middleware.csrf import get_token def getToken(request): token=get_token(request) return Http...
django解决跨域请求的问题
09-19
Django作为Python中一个非常流行的Web框架,其开发人员也面临着如何解决跨域请求的问题。Django本身不支持CORS,但可以通过第三方库django-cors-headers来轻松解决这个问题。django-cors-headers是一个Django中间件...
django项目之csrf跨域问题
一杯清茶的博客
11-18 268
问题: Forbidden (CSRF token missing or incorrect.) 原因: django,会对合法的跨域访问做这样的检验,cookies里面存储的’csrftoken’,和post的header里面的字段”X-CSRFToken’作比较,只有两者匹配,才能通过跨域检验。否则会返回这个错误:CSRF Failed: CSRF token missing or incorrect 解决方法: 1.直接将settings中’django.middleware.csrf.CsrfVie
Django-跨域问题Csrf
Lyajpunov的博客
02-11 256
防⽌⽹站受第三⽅服务器的恶意攻击,csrf相当于在表达中增加了⼀个隐藏的input框,⽤于向服务器提交⼀个唯一的随机字符串⽤于服务器验证表单是否是本服务器的表单。 在settings中我们设置过这个中间件,默认是开启的,我们可以注释掉并不开启 MIDDLEWARE = [ 'django.middleware.csrf.CsrfViewMiddleware', ] 一、前后端不分离 我们开启的情况下可以设置一下我们的表单 <form action="" method="post">
Django解决csrf跨域问题
IT菜鸟
06-30 1113
参考博客 跨域post请求实现方案小结--转 一、问题综述 1. 同源:协议,域名,端口相同 2. 同源策略:一个域名下面的js,没有经过允许是不能读取另外一个域名的内容,浏览器不允许js访问别的域,但是浏览器不阻止你向另外一个域名发送请求。 2.CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Sess...
django:跨域访问及CSRF防护
dangfulin的博客
09-17 773
一,什么是跨域访问? 二,django设置跨域访问 三,djangoCSRF防护
Django的cookie跨域问题解决方法
11-18
解决Django的cookie跨域问题,主要涉及到以下几个方面: 1. **CORS Middleware**:Django CORS Headers是一个第三方中间件,可以方便地管理允许跨域请求的域。安装该中间件后,通过配置`CORS_ORIGIN_WHITELIST`,...
Django+vue跨域问题解决的详细步骤
10-17
Django后端,可以通过安装并配置django-cors-headers库来解决跨域问题django-cors-headers是一个可以帮助Django处理跨域HTTP请求的中间件。配置方式是在settings.py文件中添加'corsheaders'到INSTALLED_APPS,并...
django 取消csrf限制的实例
09-17
为了解决这个问题,可以使用`django-cors-headers`这个第三方库来处理跨域请求。首先安装该库: ``` pip install django-cors-headers ``` 然后在Django的`settings.py`中添加中间件配置: ```python MIDDLEWARE = ...
django后端设置允许csrf跨域请求
laomao9112的博客
09-10 295
django后端设置允许csrf跨域请求 首先pip安装django-cors-headers 在settings中配置如下 INSTALLED_APPS = [ ...... 'corsheaders', ...... ] MIDDLEWARE = [ ...... 'corsheaders.middleware.CorsMiddleware', 'django.middleware.common.CommonMiddleware', ......
Django CSRF_TOKEN跨域攻击处理
Rick的专栏
03-25 930
1.setting 文件中MIDDLEWARE_CLASSES中加入django.middleware.csrf.CsrfViewMiddlewar2.view(建议所有视图中都加上RequestContext):def faq(request): c = RequestContext(request) ... ... return render_to_respons
django ajax提交接口自动带上crsf
文大帅的博客
05-14 753
加入from表单里面 $.ajaxSetup({ data: {csrfmiddlewaretoken: '{{ csrf_token }}' } }); 加入headers里面 $.ajaxSetup({ beforeSend: function(xhr, settings){ var csrftoken = $.cookie('...
Django —— csrf 验证问题
何惜戈
02-07 2681
关于 csrf 的基本了解 百度百科:CSRF(Cross-site request forgery)跨站请求伪造,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。通过伪装来自受信任用户的请求来利用受信任的网站。 简单来说就是攻击者盗用你的身份,以你的名义来发送恶意请求。比如说用户通过账号密码访问了网站A,A网站将一些cookie信息保存在浏览器中实现用户状态行为跟踪。这时用户...
django csrfMiddleware的一些理解&跨站和跨域
General_zy的博客
11-05 733
但是需要注意的是,仅仅依靠跨域请求的限制是不够的,因为攻击者可能通过其他手段窃取到用户的Cookie信息,例如使用钓鱼网站欺骗用户输入用户名和密码等敏感信息,从而获取用户的Cookie。但是需要注意的是,这种限制仅仅是在浏览器层面上生效的,如果攻击者使用其他方式(例如在服务器端发起跨域请求)绕过了浏览器的限制,则依然可能窃取到用户的Cookie信息,造成安全威胁。因此,在开发时应该采取多种措施,例如限制Cookie的作用域、使用安全的传输协议(如HTTPS)、对Cookie进行加密等,来保护用户的安全。
Django之同源和跨域、CSRF详解
她°
04-22 587
一.CSRF 全称是Cross Site Request Forgery,字面意思是跨站点伪造请求。 攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息。 原理解释: 为了防止跨站攻击,django中需要在前端页面中添加一个标签:{% csrf_token %},他会在前端页面生成一...
django-csrf_exempt
weixin_30641999的博客
05-31 215
django-csrf_exempt from django.views.decorators.csrf import csrf_exempt@csrf_exempt # 前端ajax请求时需要验证,否则403def fun(request):  if request.method == 'POST': # 请求方式时Post则响应    Ht...
Django中使用Ajax及避开CSRF 验证的方式详解_django ajax csrf豁免
最新发布
2401_84263282的博客
04-17 697
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。所以解决 CSRF 攻击的最直接的办法就是生成一个随机的 csrftoken 值,保存在用户的页面上,每次请求都带着这个值过来完成校验。$(“.error”).html(data.msg).css(“color”, “red”) //这里的css样式是以,隔开的。的问题,解决跨域伪造csrf的方法有三种。
Django-【viewsdecorators.csrf
weixin_30897079的博客
09-26 239
views下导入方法 from django.views.decorators.csrf import csrf_exempt,csrf_protect csrf_exempt是全局需要,唯独这个不需要 csrf_protect是全局不需要,唯独这个需要 使用方法: from django.shortcuts import rende...
前后端分离,解决跨域问题djangocsrf跨站请求保护
kodmoqn的博客
05-02 85
前后端分离,解决跨域问题djangocsrf跨站请求保护
django如何解决跨域问题
07-08
Django解决跨域问题可以通过以下几种方式: 1. 使用Django内置的CORS支持:Django提供了一个名为django-cors-headers的第三方包,可以轻松地解决跨域问题。安装该包后,在Django的设置文件中添加'corsheaders'到INSTALLED_APPS,并配置CORS_ORIGIN_ALLOW_ALL为True,即可允许所有域名的请求。你也可以使用CORS_ORIGIN_WHITELIST来指定允许的域名列表。 2. 使用中间件处理跨域请求:在Django的中间件中添加自定义的处理跨域请求的中间件。你可以在中间件中设置响应头部,允许指定的域名进行跨域请求。 ```python class CorsMiddleware: def __init__(self, get_response): self.get_response = get_response def __call__(self, request): response = self.get_response(request) response["Access-Control-Allow-Origin"] = "*" response["Access-Control-Allow-Methods"] = "GET, POST, PUT, DELETE, OPTIONS" response["Access-Control-Allow-Headers"] = "Content-Type, X-CSRFToken" return response ``` 将上述中间件添加到Django的中间件列表中。 3. 使用django-cors-headers和中间件结合:你也可以同时使用django-cors-headers和自定义中间件来处理跨域请求,以便更加灵活地配置。这样可以通过django-cors-headers提供的装饰器来标记视图函数,也可以在中间件中处理通用的跨域请求。 以上是几种常用的解决跨域问题的方法,你可以根据具体需求选择适合的方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值