中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Django CSRF 簡述

發布時間:2020-07-14 19:51:58 來源:網絡 閱讀:876 作者:beanxyz 欄目:開發技術

CSRF(Cross-site request forgery),中文名稱是跨站請求偽造。什么意思呢?簡單的說,就是用戶在網站A登錄之后,網站生成了對應的Cookie等信息,然后這個時候,用戶又打開了網站B,網站B可以在提交表單的時候,指定對象的地址為網站A,這樣就對網站A提出了一個請求。


為了避免這種惡意請求,一般的方法是在客戶端生成一個Token,每次提交來的請求,服務器都會驗證這個Token之后才會放行。Django里面,默認配置文件里面有一個中間件,可以幫我們實現這個功能。


MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]


在前面的例子里面,我們都是注釋掉了csrf這個中間件。因為一旦使用的話,會自動在Cookie里面生成一個CSRFToken。相對應的,在模板文件里面我們也必須提供對應的csrftoken,否則提交post請求的時候,就會出現下面的錯誤。

Django CSRF 簡述


在打開著CSRF的中間件之后,如果觀察Cookie,會發現他自動生成了一個csrftoken的鍵值對。



Django CSRF 簡述


如何使用呢?最簡單的方式就是在模板文件的form里面添加一行 {% csrf_token %},這樣就行了

<form action="/login/" method="POST">
        {% csrf_token %}
        <input type="text" name="user" />
        <input type="text" name="pwd" />
        <input type="checkbox" name="rmb" value="1" /> 10秒免登錄
        <input type="submit" value="提交" />
        <input id="btn1" type="button" value="按鈕" />
        <input id="btn2" type="button" value="按鈕" />
    </form>


除了POST提交數據,我們還可以通過AJAX來提交數據。那么在AJAX里面應該如何使用呢?有兩種方式:

  1. 可以在具體的一個AJAX請求里面添加一個header,header里面的csrftoken通過cookie獲取


$('#btn1').click(function () {
                $.ajax({
                    url: '/login/',
                    type:"GET",
                    data: {'user': 'root', 'pwd': '123'},
                    headers: {'X-CSRFtoken': $.cookie('csrftoken')},
                    success:function(arg){
                    }
                })
            });


2.我們還可以針對所有的AJAX請求統一配置,這樣在執行AJAX發送之前 會自動執行下面的代碼

$.ajaxSetup({
                beforeSend: function(xhr,settings){
                    xhr.setRequestHeader('X-CSRFtoken', $.cookie('csrftoken'));
                }
            });


除了通過中間件全局的配置CSRF,我們還可以進行局部的調整,允許或者不允許執行CSRF。


Django提供了兩個裝飾器函數 csrf_exempt 和csrf_protector。


我們如果關閉了全局的CSRF,但是又希望對個別函數進行保護,可以在對應的函數上面使用csrf_protector這個裝飾器。(不推薦)


例如:

from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_protect
def index(request):
    print(request.session)


另外一個情況就是,我們打開了全局的CSRF,但是希望對個別函數不進行保護,那么使用csrf_exempt

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

土默特左旗| 绵竹市| 和龙市| 平阳县| 达州市| 外汇| 客服| 房产| 德江县| 沂源县| 靖安县| 崇文区| 江油市| 抚松县| 山阳县| 潢川县| 康马县| 兴化市| 禹州市| 呼和浩特市| 金乡县| 仲巴县| 吐鲁番市| 苏尼特右旗| 商丘市| 茶陵县| 巴中市| 东安县| 兴安县| 陆河县| 富顺县| 新乡县| 增城市| 平阴县| 偏关县| 武义县| 台东市| 都匀市| 洛阳市| 保德县| 仙桃市|