Django进阶之CSRF的解决


Posted in Python onAugust 01, 2018

简介

django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。

全局

中间件 django.middleware.csrf.CsrfViewMiddleware

局部:

@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。

@csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

注意:from django.views.decorators.csrf import csrf_exempt,csrf_protect

原理

当用post提交数据的时候,django会去检查是否有一个csrf的随机字符串,如果没有就会报错,这也是之前我们一直将其注释的原因,错误如下:

Django进阶之CSRF的解决

在django内部支持生成这个随机字符串

通过form提交

在form表单里面需要添加{%csrf_token%}

这样当你查看页面源码的时候,可以看到form中有一个input是隐藏的

Django进阶之CSRF的解决

总结原理:当用户访问login页面的时候,会生成一个csrf的随机字符串,,并且cookie中也存放了这个随机字符串,当用户再次提交数据的时候会带着这个随机字符串提交,如果没有这个随机字符串则无法提交成功

cookie中存放的csrftoken如下图

Django进阶之CSRF的解决

通过ajax提交

因为cookie中同样存在csrftoken,所以可以在js中通过:

$.cooke("cstftoken")获取

如果通过ajax进行提交数据,这里提交的csrftoken是通过请求头中存放,需要提交一个字典类型的数据,即这个时候需要一个key。

在views中的login函数中:from django.conf import settings,然后打印print(settings.CSRF_HEADER_NAME)

这里需要注意一个问题,这里导入的settings并不是我们在项目文件下看到的settings.py文件,这里是是一个全局的settings配置,而当我们在项目目录下的settings.py中配置的时候,我们添加的配置则会覆盖全局settings中的配置

print(settings.CSRF_HEADER_NAME)打印的内容为:HTTP_X_CSRFTOKEN

这里的HTTP_X_CSRFTOKEN是django在X_CSRF的前面添加了HTTP_,所以实际传递的是就是X_CSRFtoken,而在前端页面的ajax传递的时候由于不能使用下划线所以传递的是X_CSRFtoken

下面是在前端ajax中写的具体内容:

$("#btn1").click(function () {
    $.ajax({
      url:"/login/",
      type:"POST",
      data:{"usr":"root","pwd":"123"},
      headers:{ "X-CSRFtoken":$.cookie("csrftoken")},
      success:function (arg) {

      }
    })
  })

但是如果页面中有多个ajax请求的话就在每个ajax中添加headers信息,所以可以通过下面方式在所有的ajax中都添加

$.ajaxSetup({
      beforeSend:function (xhr,settings) {
        xhr.setRequestHeader("X-CSRFtoken",$.cookie("csrftoken"))
      }
    });

这样就会在提交ajax之前执行这个方法,从而在所有的ajax里都加上这个csrftoken

这里的xhr是XMLHttpRequest的简写,ajax调用的就是这个方法

如果想要实现在当get方式的时候不需要提交csrftoken,当post的时候需要,实现这种效果的代码如下:

function csrfSafeMethod(method) {
      // these HTTP methods do not require CSRF protection
      return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
    }
    $.ajaxSetup({
      beforeSend: function(xhr, settings) {
        if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
          xhr.setRequestHeader("X-CSRFToken", csrftoken);
        }
      }
    });

这样就实现了当GET|HEAD|OPTIONS|TRACE这些方式请求的时候不需要提交csrftoken

总结

1、 csrf在ajax提交的时候通过请求头传递的给后台的

2、 csrf在前端的key为:X-CSRFtoken,到后端的时候django会自动添加HTTP_,并且最后为HTTP_X_CSRFtoken

3、 csrf在form中提交的时需要在前端form中添加{%csrftoken%}

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Python 相关文章推荐
python设置windows桌面壁纸的实现代码
Jan 28 Python
Python 基础教程之闭包的使用方法
Sep 29 Python
python实现手机通讯录搜索功能
Feb 22 Python
django Serializer序列化使用方法详解
Oct 16 Python
pycham查看程序执行的时间方法
Nov 29 Python
Python使用sklearn实现的各种回归算法示例
Jul 04 Python
Python实现二叉树的最小深度的两种方法
Sep 30 Python
python 实现两个npy档案合并
Jul 01 Python
基于Python的身份证验证识别和数据处理详解
Nov 14 Python
Python通过m3u8文件下载合并ts视频的操作
Apr 16 Python
Python基础之pandas数据合并
Apr 27 Python
python开发人人对战的五子棋小游戏
May 02 Python
python3利用venv配置虚拟环境及过程中的小问题小结
Aug 01 #Python
mvc框架打造笔记之wsgi协议的优缺点以及接口实现
Aug 01 #Python
python爬虫自动创建文件夹的功能
Aug 01 #Python
浅谈关于Python3中venv虚拟环境
Aug 01 #Python
python Web开发你要理解的WSGI & uwsgi详解
Aug 01 #Python
Django教程笔记之中间件middleware详解
Aug 01 #Python
flask框架中勾子函数的使用详解
Aug 01 #Python
You might like
php错误、异常处理机制(补充)
2012/05/07 PHP
asp 的 分词实现代码
2007/05/24 Javascript
js对象的比较
2011/02/26 Javascript
imgAreaSelect 中文文档帮助说明
2011/10/08 Javascript
JavaScript Array Flatten 与递归使用介绍
2011/10/30 Javascript
MooBox 基于Mootools的对话框插件
2012/01/20 Javascript
jquery实现的可隐藏重现的靠边悬浮层实例代码
2013/05/27 Javascript
jquery封装的对话框简单实现
2013/07/21 Javascript
可选择和输入的下拉列表框示例
2013/11/05 Javascript
21个值得收藏的Javascript技巧
2014/02/04 Javascript
js图片实时加载提供网页打开速度
2014/09/11 Javascript
jQuery实现视频作为全屏幕背景
2014/12/18 Javascript
js+html5绘制图片到canvas的方法
2015/06/05 Javascript
js代码实现无缝滚动(文字和图片)
2015/08/20 Javascript
javascript 广告移动特效的实现代码
2016/06/25 Javascript
文本框只能输入数字的实现方法(兼容IE火狐)
2016/06/25 Javascript
Angular.JS判断复选框checkbox是否选中并实时显示
2016/11/30 Javascript
Node.js对MongoDB数据库实现模糊查询的方法
2017/05/03 Javascript
vue中简单弹框dialog的实现方法
2018/02/26 Javascript
快速解决angularJS中用post方法时后台拿不到值的问题
2018/08/14 Javascript
jquery判断滚动条距离顶部的距离方法
2018/09/05 jQuery
在微信小程序中使用图表的方法示例
2019/04/25 Javascript
[53:44]DOTA2-DPC中国联赛 正赛 PSG.LGD vs Magma BO3 第一场 1月31日
2021/03/11 DOTA
Python实现数通设备端口使用情况监控实例
2015/07/15 Python
python获取list下标及其值的简单方法
2016/09/12 Python
python自动重试第三方包retrying模块的方法
2018/04/24 Python
python 的 openpyxl模块 读取 Excel文件的方法
2019/09/09 Python
python 将视频 通过视频帧转换成时间实例
2020/04/23 Python
django正续或者倒序查库实例
2020/05/19 Python
某公司.Net方向面试题
2014/04/24 面试题
采购主管工作职责
2013/12/12 职场文书
教师考核评语
2014/04/28 职场文书
销售经理助理岗位职责
2015/04/13 职场文书
2015年暑期社会实践报告
2015/07/13 职场文书
公司车辆管理制度
2015/08/04 职场文书
Redis 中使用 list,streams,pub/sub 几种方式实现消息队列的问题
2022/03/16 Redis