学习目标:
理解CSRF工作原理,能够建立完整CSRF流程。学习内容:
1、CSRF原理在用户进行post提交数据时,先要经过CSRF中间件进行安全验证,验证通过后才通过路由找到对应的view视图函数进行操作。
2、 创建CSRF流程
- 解除settings文件中对CSRF中间件的注释
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
- 在模板文件中加入CSRFtoken设置
方法一:直接在form表单中添加代码
<form action="/login/" method="post">
{% csrf_token %}
<label>
用户名:<input type="text" name="username"/>
</label>
<input type="submit" value="提交"/>
</form>
方法二:通过AjaxSetup进行设置
<form action="/login/" method="post">
<label>
用户名:<input type="text" name="username"/>
</label>
<input type="submit" value="提交"/>
</form>
<script src="/static/jquery-1.12.4.js"></script>
<script src="/static/jquery.cookie.js"></script>
<script>
$(function () {
$.ajaxSetup({
beforeSend:function (xhr,settings) {
xhr.setRequestHeader("X-CSRFtoken",$.cookie("csrftoken"))
}
});
});
</script>
方法三:通过Ajax设置点击函数
<form action="/login/" method="post">
<label>
用户名:<input type="text" name="username"/>
</label>
<div>
<input id="btn" type="button" value="CSRF"/>
</div>
<input type="submit" value="提交"/>
</form>
<script src="/static/jquery-1.12.4.js"></script>
<script src="/static/jquery.cookie.js"></script>
<script>
$("#btn").click(function () {
$.ajax({
url:"/login/",
method:"POST",
data:{"username":"root","pwd":123},
headers:{"X-CSRFtoken":$.cookie("csrftoken")},
success:function (arg) {
}
})
})
});
</script>
- 其他地方无需改动
3、定制性设置CSRF安全验证
- 在view函数中导入csrf_exempt,csrf_protect
from django.views.decorators.csrf import csrf_exempt,csrf_protect
- 对需要保护的函数进行装饰器设置
@csrf_protect
def index(request):
pass
- 对无需保护的函数进行装饰器设置
@csrf_exempt
def index(request):
pass