djangocsrf跨站请求伪造[Python基础]
django-csrf跨站请求伪造
一、什么是跨站请求伪造
跨站请求伪造。英文简称:csrf,英文全称:cross-site request forgery
举个栗子:钓鱼网站
有一个和某银行一摸一样的虚假网站,用户在该页面完成转账功能,转账的请求是朝着银行的真实网站的服务端提交,这两个网站提交数据的唯一不同在于收款账户人不同,在虚假网站书写收款人的form表单,此页面的input输入框没有name属性,虚假网站开发人员提前写好一个具有默认的并且是隐藏的具有name属性的input,所以向银行真实服务端提交数据的时候,默认就是将你的金额转给了默认写好的账户,这种虚假网站就叫做钓鱼网站,这种方式叫做跨站请求伪造。
那么如何开启csrf校验,防止此类事情出现呢?
二、django如何开启csrf校验
csrf是django的默认中间件,默认是开启的,对前端请求进行校验;将其注释即关闭校验。
但是在开启情况下,前端向后台提交数据会被阻拦报出 403 forbidden 错误。那么如何通过这种校验呢?
PS:关闭csrf中间件即可通过校验,但是出于数据安全考虑,不建议此类操作,可做简单测试使用,不推荐使用于生产环境。下文不对此方法进行叙述。
三、如何正确通过csrf校验
1、前端的form表单如何通过csrf校验
在form表单内书写一个{% csrf_token %}即可,例:
这样的话,后端会返回给前端一串随机字符串,前端向后端再次发送数据时,后端的csrf中间件会对这一串字符串进行校验,校验成功正确即返回数据,校验不成功即 403 forbidden 报错。
2、ajax如何通过csrf校验
第一种:手动获取
$.ajax({url:
"",type:
"post",// 第一种方式:手动获取data:{"username":"tom", "csrfmiddlewaretoken":$("input[name="csrfmiddlewaretoken"]").val()}
success:function (data) {
alert(data)
}
})
第二种:利用模板语法
$.ajax({url:
"",type:
"post",// 第二种方式:使用模板语法data:{"username":"tom", "csrfmiddlewaretoken":"{{ csrf_token }}"}
success:function (data) {
alert(data)
}
})
第三种:通用方式,引入外部js文件
① cv大法,创建myset.js
function getCookie(name) {var cookieValue = null;if (document.cookie && document.cookie !== "") {var cookies = document.cookie.split(";");for (var i = 0; i < cookies.length; i++) {var cookie = jQuery.trim(cookies[i]);// Does this cookie string begin with the name we want?if (cookie.substring(0, name.length + 1) === (name + "=")) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
var csrftoken = getCookie("csrftoken");
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
beforeSend: function (xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});
自定义myset.js文件
② 在html中引入文件
// 加载静态文件{% load static %}
// 引入自定义myset.js文件
<script src="{% static "myset.js" %}"></script>
③ ajax按照语法正常写即可
$.ajax({url:
"",type:
"post",// 第三种方式:通用方式,引入外部js文件data:{"username":"tom"}
success:function (data) {
alert(data)
}
})
四、csrf相关装饰器
1、当网站整体都使用csrf校验的时候,我想让某几个视图函数不使用csrf校验(配置文件中中间件配置csrf没有被注释,默认全部校验)
(1)FBV:基于函数的视图
from django.views.decorators.csrf import csrf_exempt, csrf_protect@csrf_exempt
# 整体都校验,该视图函数不校验csrfdef login(request):
return render(request, "login.html")
(2)CBV:基于类的视图
csrf_exempt的两种方式:
# csrf_exempt的两种方式:from django.views import View
from django.views.decorators.csrf import csrf_exempt, csrf_protect
from django.utils.decorators import method_decorator
# @method_decorator(csrf_protect, name="dispatch") # 第二种方式:一定要指定dispatch方法,所以第二种方法==第一种方法
class MyHome(View):
@method_decorator(csrf_exempt) # 第一种方式:给类中所有的方法都加上装饰器
def dispatch(self, request, *args, **kwargs):
return super().dispatch(request, *args, **kwargs)
def get(self, request):
return render(request, "get_demo.html")
def post(self, request):
return HttpResponse("请求完成")
2、当网站整体都不使用csrf校验的时候,我想让某几个视图函数使用csrf校验(配置文件中中间件配置csrf被注释,默认全部不校验)
(1)FBV:基于函数的视图
from django.views.decorators.csrf import csrf_exempt, csrf_protect@csrf_protect
# 整体都不校验,该视图函数校验csrfdef login(request):
return render(request, "login.html")
(2)CBV:基于类的视图
csrf_protect的三种方式:
# csrf_protect的三种方式:from django.views import View
from django.views.decorators.csrf import csrf_exempt, csrf_protect
from django.utils.decorators import method_decorator
@method_decorator(csrf_protect, name="post") # 第二种方式:指名道姓的给某个方法装饰
class MyHome(View):
# @method_decorator(csrf_protect) # 第三种方式:给类中所有的方法都加上装饰器
def dispatch(self, request, *args, **kwargs):
return super().dispatch(request, *args, **kwargs)
def get(self, request):
return render(request, "get_demo.html")
# @method_decorator(csrf_protect) # 第一种方式:直接在方法上面装饰
def post(self, request):
3、总结
① 给CBV加装饰器,推荐使用method_decorator模块
② 自定义的装饰器和csrf_protect的用法一致
③ 唯独scrf_exempt是一个特例,只能给dispatch方法装饰
以上是 djangocsrf跨站请求伪造[Python基础] 的全部内容, 来源链接: utcz.com/z/530434.html