中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

python中Django里CSRF對應策略的示例分析

發布時間:2021-08-12 14:40:11 來源:億速云 閱讀:260 作者:小新 欄目:開發技術

這篇文章主要為大家展示了“python中Django里CSRF對應策略的示例分析”,內容簡而易懂,條理清晰,希望能夠幫助大家解決疑惑,下面讓小編帶領大家一起研究并學習一下“python中Django里CSRF對應策略的示例分析”這篇文章吧。

CSRF(Cross Site Request Forgery, 跨站域請求偽造)是一種網絡的×××方式。

我的理解是,比如你訪問過招商銀行的網站并登陸之后,你的cookie信息暫時不會失效,

這時,hacker通過各種方式誘導你訪問他給你提供的網站等鏈接,讓你在同一瀏覽器訪問

hacker給你的網站時,那么他給你提供的網站里面有直接有向招商銀行提交轉賬信息的請求,這時,

這個轉賬請求會借用你剛剛登陸過招商銀行的cookie信息,來使用的你的身份進行合法的轉賬。

那么為了減少這個情況的發生,在客戶端與服務端交互的時候,當客戶端瀏覽器第一次訪問cookie的時候,服務端會有基于csrf的隨機驗證字符串生成,然后把這些字符串寫到客戶端cookie里,同時服務端在session里保存一份,當客戶端瀏覽器再次發來post請求的時候,服務端會驗證cookie里csrf_token(就是生成的這個隨機字符串)。

Django里自動幫我們封裝了這個功能,在Django項目里的setting.py文件里會默認開啟 'django.middleware.csrf.CsrfViewMiddleware',這一項功能。

所以我們html文件里有post請求的時候要在from表單里添加{% csrf_token %}這一項

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <title>Title</title>
</head>
<body>
  <div>
    <form action="/app01/login/" method="post">
 {% csrf_token %}
      <input type="text" name="username">
      <input type="password" name="pwd">
      <input type="submit" value="提交">
    </form>
  </div>
</body>
</html>

但是有的時候是不需要 csrf_token 認證的,有的時候是需要的,但是Django項目里的setting.py文件里設置了 'django.middleware.csrf.CsrfViewMiddleware'之后就是全局生效了;這就 不是我們所需要的了。

那么如果有的函數不需要csrf_token 認證的話,那么就需要用到@csrf_exempt裝飾器來設置單個函數不用csrf_token 認證

from django.views.decorators.csrf import csrf_exempt,csrf_protect

@csrf_exempt是不需要設置csrf_token認證的

@csrf_protect是 需要設置csrf_token 認證的

以上是“python中Django里CSRF對應策略的示例分析”這篇文章的所有內容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內容對大家有所幫助,如果還想學習更多知識,歡迎關注億速云行業資訊頻道!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

荆州市| 罗田县| 乌拉特前旗| 琼结县| 洛川县| 浦东新区| 隆德县| 南漳县| 化隆| 丽江市| 喀喇沁旗| 扶风县| 台东县| 镇赉县| 蓝田县| 西乌| 靖州| 肇东市| 宜阳县| 富顺县| 台南县| 吴忠市| 普兰县| 巫山县| 聊城市| 来安县| 包头市| 安岳县| 邹平县| 静乐县| 开阳县| 阿拉善右旗| 宁城县| 石渠县| 兴和县| 民县| 玛曲县| 井冈山市| 珲春市| 虞城县| 柳江县|