标签:protect 跨站 request 校验 django csrf exempt method
1.什么是跨站请求伪造
请看图:
我们自行写了一个网站模仿中国银行,用户不知道是否是真的中国银行,并且提交了转账信息,生成一个form表单,向银行服务器发送转账请求,这个form表单和正规银行网站的form表单一模一样,只不过里面隐藏着改变了转账人的信息,改成了我们自己!!
然后,银行也不知道,因为拿到的表单是正规表单一模一样的,就给我们转了账!!
2.如何规避跨站请求伪造(csrf校验)
一般后端都会自带一个csrf校验,就是在给前端的form表单一个唯一的标识,form表单提交给后端,后端需要校验这个唯一标识,不符合就拒绝请求!!返回403(forbidden)
3.如何符合csrf校验
在我们自己写的正规网站,我们就需要在前端写一些标识,这个标识是告诉后端,这个请求是正确的,是我们正规的网站发出的,不是钓鱼网站!!
3.1 form表单如何符合校验
在需要提交的form表单里的任意位置加上{% form_token %},这时就符合了校验!
3.2 ajax如何符合校验
// 第一种 利用标签查找获取页面上的随机字符串
data:{"username":'jason','csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()}
// 第二种 利用模版语法提供的快捷书写
data:{"username":'jason','csrfmiddlewaretoken':'{{ csrf_token }}'}
// 第三种 通用方式直接拷贝js代码并应用到自己的html页面上即可
data:{"username":'jason'}
ajax通过csrf校验的js代码
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie !== '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) === (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
var csrftoken = getCookie('csrftoken');
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
beforeSend: function (xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});
4.csrf相关的装饰器
当我们在django中注释掉csrf的中间件时,就表示网站所有的post请求都不进行校验;打开csrf中间件时,就表示对于所有的post请求都需要进行校验!
这是,我们思考两个问题:
1.网站整体都不校验csrf,就单单几个视图函数需要校验怎么办
2.网站整体都校验csrf,就单单几个视图函数不校验怎么办
这时,我们需要引入两个装饰器!
4.1 针对FBV的csrf装饰器
from django.views.decorators.csrf import csrf_protect,csrf_exempt
from django.utils.decorators import method_decorator
# @csrf_exempt #在打开csrf时对局部视图函数不进行校验
# @csrf_protect #在关闭csrf时对局部视图函数进行校验
def transfer(request):
if request.method == 'POST':
username = request.POST.get('username')
target_user = request.POST.get('target_user')
money = request.POST.get('money')
print('%s给%s转了%s元'%(username,target_user,money))
return render(request,'transfer.html')
4.2 针对CBV的csrf装饰器
from django.views import View
# @method_decorator(csrf_protect,name='post') # 针对csrf_protect 第二种方式可以
# @method_decorator(csrf_exempt,name='post') # 针对csrf_exempt 第二种方式不可以
@method_decorator(csrf_exempt,name='dispatch')
class MyCsrfToken(View):
# @method_decorator(csrf_protect) # 针对csrf_protect 第三种方式可以
# @method_decorator(csrf_exempt) # 针对csrf_exempt 第三种方式可以
def dispatch(self, request, *args, **kwargs):
return super(MyCsrfToken, self).dispatch(request,*args,**kwargs)
def get(self,request):
return HttpResponse('get')
# @method_decorator(csrf_protect) # 针对csrf_protect 第一种方式可以
# @method_decorator(csrf_exempt) # 针对csrf_exempt 第一种方式不可以
def post(self,request):
return HttpResponse('post')
csrf_protect 需要校验
针对csrf_protect符合我们之前所学的CBV装饰器的三种玩法
csrf_exempt 忽视校验
针对csrf_exempt只能给dispatch方法加才有效
标签:protect,跨站,request,校验,django,csrf,exempt,method 来源: https://www.cnblogs.com/suncolor/p/16587106.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。