Django解决CSRF请求处理

最新推荐文章于 2021-01-13 09:13:51 发布
最新推荐文章于 2021-01-13 09:13:51 发布
阅读量826 收藏
点赞数
分类专栏: Python中Django项目的Web部署
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zsrwan/article/details/90740616
版权

一、在提交的前端页面中写入js代码片段

// get cookie using jQuery
function getCookie(name) {
    let cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        let cookies = document.cookie.split(';');
        for (let i = 0; i < cookies.length; i++) {
            let cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}

function csrfSafeMethod(method) {
    // these HTTP methods do not require CSRF protection
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

// Setting the token on the AJAX request
$.ajaxSetup({
    beforeSend: function (xhr, settings) {
        if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
            xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
        }
    }
});

二、后台管理

get 请求的时候设置
post请求的时候, 应该携带csrf_token 

后台设置 set_cookie  csrf_token  :   
1. {% csrf_token %} 模板标签方式
2. @method_decorator(ensure_csrf_cookie)
from django.views.decorators.csrf import ensure_csrf_cookie
from django.utils.decorators import method_decorator
3. 自定义中间件 get_token(request)
from django.middleware.csrf import get_token

中间件文件写的内容:

from django.utils.deprecation import MiddlewareMixin
from django.middleware.csrf import get_token


# create your middleware there
class MyCSRFMiddleware(MiddlewareMixin):

    def process_request(self, request):
        get_token(request)

滚滚滚

快快快

和京津冀

 

 

 

 

shenqiandong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django-react-csrftoken:一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单
02-03
DjangoCSRFToken 一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单。 安装 npm install --save django-react-csrftoken 用法 import React from 'react' ; import DjangoCSRFToken from 'django-react-csrftoken' class MyLoginForm extends React . Component { render ( ) { return ( < div xss=removed>
Django CSRF处理
GrandG7的博客
11-28 290
1、setting中默认在MIDDLEWARE中设置了django.middleware.csrf.CsrfViewMiddleware,官方文档建议不要把它删了。 2、GET请求(安全的操作)不要做GET之外的操作(side effect free)。POST,PUT,DELETE方法(不安全的操作),按照以下方法来做。3、<form>表单后一律加上{% csrf_token %},这样在网页加
简析django源码中对csrf处理
nibuyaoshiwang的博客
01-13 171
csrf 跨站点请求伪造(Cross—Site Request Forgery),具体过程如下: 用户登录后访问某网站A,将cookies存在浏览器。 在未退出的情况下访问另一个网站B,这时候携带的信息就会全部发给B。 网站B拿着你的信息又去访问A,这样就造成了跨站请求伪造。 解决方案 检验http headers中的Referer,它的内容就是这次http请求的网站地址。对于服务端来说,在请求头部信息里我们可以过滤出有害请求地址的黑名单。 添加随机参数token,来每一次请求到来后,对比token值
如何解决DjangoCSRF问题
谭小谭的专栏
11-28 1708
  CSRF是什么? CSRF(Cross Site Request Forgery,跨站伪造请求)。举个例子来简单介绍下。有A、B两个web网站,其中A网站存在CSRF漏洞,B网站是攻击者特意设计成一个具有CSRF攻击性的网站,C为一普通用户,当用户C在浏览器中登录A网站后,A网站会将用户的登录信息如cookie返回并保存在浏览器,如果用户C在浏览器中再访问B网站,B网站会诱导用户C执行一个...
django+react csrf_耐克react系列什么意思
weixin_39776344的博客
11-08 185
耐克react系列是缓震系列。Nike React是一种轻量、有弹性、有出色耐久性的缓震材料,Nike React 泡棉具有非凡的响应度和柔软度,减少跑步带来的伤害。Nike衣服如何辨别真假?观察面料:一般情况下,Nike的衣服面料大都以独特三维编织结构为主,不仅可以保证汗液不粘身,而且还特别的轻,所以在辨别时刻仔细的观察下面料是否有明显的三维立体结构,若没有,则为假货。观察吊牌:正品的Nike衣...
django 取消csrf限制的实例
09-17
为了解决这个问题,可以使用`django-cors-headers`这个第三方库来处理跨域请求。首先安装该库: ``` pip install django-cors-headers ``` 然后在Django的`settings.py`中添加中间件配置: ```python MIDDLEWARE = ...
Django CSRF跨站请求伪造防护过程解析
09-18
7. **安全最佳实践**:除了Django的内置防护,开发者还应确保所有敏感操作(如修改、删除等)都通过POST、PUT、DELETE等非幂等性请求完成,并且只在POST请求中检查CSRF令牌。 通过理解DjangoCSRF防护机制,开发者...
详解DjangoCSRF认证实现
09-20
1. **CSRF中间件**:在Django的设置文件中,`MIDDLEWARE_CLASSES` 列表中包含 `'django.middleware.csrf.CsrfViewMiddleware'`,这个中间件会在每个请求处理流程中发挥作用。 2. **生成CSRF token**:当用户访问...
django-csrf使用和禁用方式
09-17
Django 框架中,CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种重要的安全机制,用于防止恶意第三方在用户浏览器上伪造请求DjangoCSRF 保护通常涉及在表单中添加一个隐藏字段 `...
Django跨域请求CSRF的方法示例
09-19
主要介绍了Django跨域请求CSRF的方法示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。 教你如何在AJAX请求上设置令牌。
Django-【views】decorators.csrf
weixin_30897079的博客
09-26 197
views下导入方法 from django.views.decorators.csrf import csrf_exempt,csrf_protect csrf_exempt是全局需要,唯独这个不需要 csrf_protect是全局不需要,唯独这个需要 使用方法: from django.shortcuts import rende...
axios异步请求如何设置通过djangocsrf验证
Just for fun的专栏
10-06 1008
问题描述:最近在使用vue全家桶开发前端,后端框架是django,我在使用axios做前端异步请求时,除了get之外的请求方法django都会返回403状态码,表单总是提交不上去。分析原因:通过chrome浏览器的network中,了解到是csrf的认证没有通过,所以被拒绝提交。我之前对csrf攻击和防范的原理不太了解,在axios的异步请求配置里也没有做特别的处理,所以请求django拒绝了。...
CSRF verification failed. Request aborted.
xuelang279的博客
02-26 4369
最近开始学习Django,在创建一个简单的form表单登录时,遇到了一个问题,弄了半天终于解决了。下面把我遇到的问题和解决办法分享下: (1)SRF verification failed. Request aborted.这个意思是说SRF验证失败,请求终止。 于是我开始在百度上搜索,大部分的搜索结果是说,有两种解决方法: 一种是说可以直接在settings.py中的MIDDLEWARE_
Forbidden(403) CSRF verification failed.Request aborted错误
FreeSpider
06-13 3117
Forbidden(403) CSRF verification failed.Request aborted错误 这个错误信息翻译成中文的意思就是:验证失败,请求终止。 这是一个在Django框架中几乎每个人都会遇到的错误,在进行表单提交的时候,后者ajax传送数据的时候会发生这种情况。 怎么解决? 1.在html的表单中,加入{% csrf_token %}即可。加入的位置在form...
CSRF verification failed. Request aborted.的解决办法
robinliu的JAVA之路
06-12 2810
django1.21加入了防止CSRF攻击的模块。     这是django的debug模式下给出的错误提示页面。 Forbidden (403) CSRF verification failed. Request aborted. Help Reason given for failure: CSRF token missing or incorrect. In gene
解决CSRF verification failed. Request aborted.的问题
常城的专栏
11-07 2939
转载自: http://hi.baidu.com/skipify/blog/item/573d49db4f607f1e632798d4.html django1.21加入了防止CSRF攻击的模块。     这是django的debug模式下给出的错误提示页面。 Forbidden (403) CSRF verification failed. Request aborted.
djangocsrf的实现机制
最新发布
06-10
Django中的CSRF(Cross-Site Request Forgery)机制可以防止跨站点请求伪造攻击。DjangoCSRF机制的实现基于以下两个元素: 1. CSRF令牌:每个表单都会包含一个隐藏的CSRF令牌,这个令牌是服务器随机生成的,并且...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值