当前位置:主页 > python教程 > Django跨域请求CSRF详解

Django跨域请求CSRF的实例方法

发布:2019-06-24 14:55:33 239


我们帮大家精选了相关的编程文章,网友印苑博根据主题投稿了本篇教程内容,涉及到Django、跨域请求、CSRF、实例、Django跨域请求CSRF详解相关内容,已被524网友关注,相关难点技巧可以阅读下方的电子资料。

Django跨域请求CSRF详解

web跨域请求

1.为什么要有跨域限制

举个例子:

1.用户登录了自己的银行页面 http://mybank.com,http://mybank.com向用户的cookie中添加用户标识。
2.用户浏览了恶意页面 http://evil.com。执行了页面中的恶意AJAX请求代码。
3.http://evil.com向http://mybank.com发起AJAX HTTP请求,请求会默认把http://mybank.com对应cookie也同时发送过去。
4.银行页面从发送的cookie中提取用户标识,验证用户无误,response中返回请求数据。此时数据就泄露了。
5.而且由于Ajax在后台执行,用户无法感知这一过程。

以上就是所谓是CSRF(Cross-site request forgery)攻击,跨站请求伪造。接下来说一下 Django中处理csrf的方式

正常情况下直接发起一个psot请求,会报错。错误的意思是csrf校验失败,request请求被丢弃掉。

那么在django中的post失败有两种解决办法:

解决办法一:将csrf中间层注释掉

MIDDLEWARE = [
 
  'django.middleware.security.SecurityMiddleware',
 
  'django.contrib.sessions.middleware.SessionMiddleware',
 
  'django.middleware.common.CommonMiddleware',
 
#  'django.middleware.csrf.CsrfViewMiddleware',
 
  'django.contrib.auth.middleware.AuthenticationMiddleware',
 
  'django.contrib.messages.middleware.MessageMiddleware',
 
  'django.middleware.clickjacking.XFrameOptionsMiddleware',
 
]

此时将不会进行csrf的校验,但如前面所述,这是一种不安全的行为。而且djano也不推荐使用

解决办法二:

在前面的提示中有这样一句话:

<form action="" method="post">{% csrf_token %}

也就是说在网页中加入csrf_token的标签就可以通过csrf校验

Django 提供的 CSRF 防护机制:

1、django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 token,把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token,这样就能避免被 CSRF 攻击。

2、在返回的 HTTP 响应的 cookie 里,django 会为你添加一个 csrftoken 字段,其值为一个自动生成的 token,在所有的 POST 表单时,必须包含一个 csrfmiddlewaretoken 字段 (只需要在模板里加一个 tag, django 就会自动帮你生成,见下面)

3、在处理 POST 请求之前,django 会验证这个请求的 cookie 里的 csrftoken 字段的值和提交的表单里的 csrfmiddlewaretoken 字段的值是否一样。如果一样,则表明这是一个合法的请求,否则,这个请求可能是来自于别人的 csrf 攻击,返回 403 Forbidden.

4、在所有 ajax POST 请求里,添加一个 X-CSRFTOKEN header,其值为 cookie 里的 csrftoken 的值


参考资料

相关文章

  • Django Mode的外键自关联和引用未定义的Model方法详解

    发布:2020-02-02

    今天小编就为大家分享一篇Django之Mode的外键自关联和引用未定义的Model方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧


  • django信号调度机制知识点总结

    发布:2019-10-31

    这篇文章主要介绍了django 信号调度机制详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下


  • Django中使用Whoosh进行全文检索示例代码

    发布:2020-01-27

    这篇文章主要介绍了Django中使用Whoosh进行全文检索的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧


  • 关于Django 时间与时区设置问题

    发布:2020-01-27

    这篇文章主要介绍了Django 时间与时区设置问题,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下


  • django之对FileField字段的upload_to的设定方法

    发布:2022-12-03

    给网友们整理关于django的教程,今天小编就为大家分享一篇django之对FileField字段的upload_to的设定方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧


  • python+pycharm+django admin css样式问题解决方案

    python+pycharm+django admin css样式问题解决方案

    发布:2022-12-03

    给大家整理了关于python的教程,最近打算学习一下Python,基础知识有了大概的了解,想上手搞搞东西。我用的python 3.5+pycharm+django 1.11.2在使用Django,打开127.0.0.1:8000/admin时,发现admin模块css样式文件丢失,无法调用 按F12 发现


  • Django学习笔记之Class-Based-View

    发布:2022-12-02

    给大家整理一篇关于Django的教程,下面这篇文章主要介绍了Class-based View,为什么要有这个Class-based View呢?view不都是一个方法吗?跟类有啥关系?其实答案很明显,用类其实是为了抽象,抽象出通用的,将可变的暴露出来,这样


  • Django 中间键和上下文处理器的使用

    发布:2022-04-11

    这篇文章主要介绍了Django 中间键和上下文处理器的使用,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧


网友讨论