2. 程式人生 > 其它 >39 django之csrf

39 django之csrf

阿新 發佈:2021-12-08

django為使用者實現防止跨站請求偽造的功能,通過中介軟體 django.middleware.csrf.CsrfViewMiddleware 來完成

1 csrf跨站請求偽造校驗

網站在給使用者返回一個具有提交資料功能頁面的時候會給這個頁面加一個唯一標識
當這個頁面朝後端傳送post請求的時候
後端會先校驗唯一標識,如果唯一標識不對直接拒絕(403 forbbiden)
如果成功則正常執行

2 form表單如何符合校驗

{%csrf_token%}

<form action="" method="post">
    {% csrf_token %}
    <p>username:<input type="
 
text" name="username" class="form-control"></p>
    <p>password:<input type="text" name="password" class="form-control"></p>
    <input type="submit" class="btn btn-success">
</form>

3 ajax如何符合校驗

第一種 利用標籤查詢獲取頁面上的隨機字串

放在data裡:'csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="https://cdn.bootcdn.net/ajax/libs/jquery/3.4.1/jquery.min.js"></script>
    <link href="https://cdn.bootcdn.net/ajax/libs/twitter-bootstrap/3.4.1/css/bootstrap.min.css
 
" rel="stylesheet">
    <script src="https://cdn.bootcdn.net/ajax/libs/twitter-bootstrap/3.4.1/js/bootstrap.min.js"></script>

</head>
<body>
<h1 class="text-center">登入</h1>
<form action="" method="post">
    <p>username:<input type="text" name="username" class="form-control"></p>
    <p>password:<input type="text" name="password" class="form-control"></p>

</form>

<button id="d1">點我</button>

<script>
    $('#d1').click(function (){
        $.ajax({
            url:'',
            type:'post',
            data:{"username":'dzg','csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()},
            success:function (){

            }
        })
    })
</script>

</body>
</html>

第二種 利用模版語法提供的快捷書寫

放在data裡:'csrfmiddlewaretoken':'{{ csrf_token }}'

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="https://cdn.bootcdn.net/ajax/libs/jquery/3.4.1/jquery.min.js"></script>
    <link href="https://cdn.bootcdn.net/ajax/libs/twitter-bootstrap/3.4.1/css/bootstrap.min.css" rel="stylesheet">
    <script src="https://cdn.bootcdn.net/ajax/libs/twitter-bootstrap/3.4.1/js/bootstrap.min.js"></script>

</head>
<body>
<h1 class="text-center">登入</h1>
<form action="" method="post">
    <p>username:<input type="text" name="username" class="form-control"></p>
    <p>password:<input type="text" name="password" class="form-control"></p>

</form>

<button id="d1">點我</button>

<script>
    $('#d1').click(function (){
        $.ajax({
            url:'',
            type:'post',
            data:{"username":'dzg','csrfmiddlewaretoken':'{{ csrf_token }}'},
            success:function (){

            }
        })
    })
</script>

</body>
</html>

第三種 直接拷貝js程式碼並應用到自己的html頁面上即可 先建一個static資料夾,再建js資料夾,建任意的js檔案

mycsrf.js

function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');


function csrfSafeMethod(method) {
  // these HTTP methods do not require CSRF protection
  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

$.ajaxSetup({
  beforeSend: function (xhr, settings) {
    if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
      xhr.setRequestHeader("X-CSRFToken", csrftoken);
    }
  }
});

login.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="https://cdn.bootcdn.net/ajax/libs/jquery/3.4.1/jquery.min.js"></script>
    <link href="https://cdn.bootcdn.net/ajax/libs/twitter-bootstrap/3.4.1/css/bootstrap.min.css" rel="stylesheet">
    <script src="https://cdn.bootcdn.net/ajax/libs/twitter-bootstrap/3.4.1/js/bootstrap.min.js"></script>
</head>
<body>
<h1 class="text-center">登入</h1>
<form action="" method="post">
    <p>username:<input type="text" name="username" class="form-control"></p>
    <p>password:<input type="text" name="password" class="form-control"></p>

</form>

<button id="d1">點我</button>
{% load static %}
<script src="{% static 'js/mycsrf.js' %}"></script>
<script>
    $('#d1').click(function (){
        $.ajax({
            url:'',
            type:'post',
            data:{"username":'dzg',},
            success:function (){

            }
        })
    })
</script>

</body>
</html>

4csrf相關裝飾器

csrf_protect 需要校驗
針對csrf_protect符合我們之前所學的裝飾器的三種玩法
csrf_exempt 忽視校驗
針對csrf_exempt只能給dispatch方法加才有效

4.1 簡單使用

# @csrf_exempt
# @csrf_protect
def transfer(request):
    if request.method == 'POST':
       return HttpResponse('666')
    return render(request,'login.html')

4.2

網站整體都不校驗csrf,就單單幾個檢視函式需要校驗
網站整體都校驗csrf,就單單幾個檢視函式不校驗

from django.views import View

# @method_decorator(csrf_protect,name='post')  # 針對csrf_protect 第二種方式可以
# @method_decorator(csrf_exempt,name='post')  # 針對csrf_exempt 第二種方式不可以
@method_decorator(csrf_exempt,name='dispatch')
class MyCsrfToken(View):
    # @method_decorator(csrf_protect)  # 針對csrf_protect 第三種方式可以
    # @method_decorator(csrf_exempt)  # 針對csrf_exempt 第三種方式可以
    def dispatch(self, request, *args, **kwargs):
        return super(MyCsrfToken, self).dispatch(request,*args,**kwargs)

    def get(self,request):
        return HttpResponse('get')

    # @method_decorator(csrf_protect)  # 針對csrf_protect 第一種方式可以
    # @method_decorator(csrf_exempt)  # 針對csrf_exempt 第一種方式不可以
    def post(self,request):
        return HttpResponse('post')

相關推薦

39 djangocsrf

django為使用者實現防止跨站請求偽造的功能,通過中介軟體 django.middleware.csrf.CsrfViewMiddleware 來完成

djangocsrf、auth認證模組、bbs

djangocsrf、auth認證模組、bbs csrf相關裝飾器 基於中介軟體思想編寫專案 auth認證模組

django狀態保持-使用redis儲存session的例子

關於redis安裝,pip install django-redis-sessions,按照提示進行安裝相關的服務端 和客戶端.

Django使用haystack+whoosh實現搜尋功能

為了實現專案中的搜尋功能,我們使用的是全文檢索框架haystack+搜尋引擎whoosh+中文分詞包jieba

Django使用celery和NGINX生成靜態頁面實現效能優化

效能優化原理: 當我們要給client瀏覽器返回一個頁面時,我們需要去資料庫查詢資料並將資料和基本頁面模板渲染形成頁面返回給客戶端,但如果每一個使用者訪問時都去查詢一次首頁的的資料時,當日訪問量很大時那麼無疑

Django使用內建函式和celery發郵件的方法示例

郵箱配置 開啟stmp服務 以163郵箱為例,點選設定裡面的stmp 開啟客戶端授權密碼

Django模板層的實現程式碼

在例子檢視中返回文字的方式有點特別,即HTML被直接硬編碼在Python程式碼之中。

Django路由層

Django之路由層 URL配置(URLconf)就像Django所支撐網站的目錄。它的本指是URL與要為該URL呼叫的檢視函式之間的對映表,你就是以這種方式告訴Django,對於客戶端發來的某個URL呼叫哪一段邏輯程式碼對應執行。

DjangoPopUp的具體實現方法

步驟一:index頁面處理 <!DOCTYPE html> <html lang=\"en\"> <head> <meta charset=\"UTF-8\">

Djangoform元件自動校驗資料實現

一、form介紹 我們之前在HTML頁面中利用form表單向後端提交資料時,都會寫一些獲取使用者輸入的標籤並且用form標籤把它們包起來。

django 取消csrf限制的例項

# 匯入包 from django.views.decorators.csrf import csrf_exempt # 使用裝飾器即可避免csrf限制

django從html頁面表單獲取輸入的資料例項

本文主要講解如何獲取使用者在html頁面中輸入的資訊。 1.首先寫一個自定義的html網頁

Djangochoices選項和富文字編輯器的使用詳解

專案準備 1.建立資料庫 create database choices_test default charset utf8; 2.建立一個名為 choices_test 的Django專案;

django匯入並執行自定義的函式模組圖解

1.現在有一個需求:我想在monitor應用中匯入data資料夾下的apolos.py中的tes()函式並執行。

Django全域性使用request.user.username的例項詳解

我就廢話不多說了,大家還是直接看程式碼吧! def pro_mgr(): \"\"\" 獲取當前登陸使用者的專案

Django富文字(獲取內容,設定內容方式)

富文字 1、Rich Text Format(RTF) 微軟開發的跨平臺文件格式,大多數的文書處理軟體都能讀取和儲存RTF文件,其實就是可以新增樣式的文件,和HTML有很多相似的地方

Django騰訊雲簡訊的實現

簡介 由於專案在註冊、登入、找回密碼 時需要傳送簡訊驗證的功能,我們使用騰訊雲簡訊做。

Djangoauth模組(使用者認證)登陸元件

auth模組簡介 auth模組是對登入認證方法的一種封裝,之前我們獲取使用者輸入的使用者名稱及密碼後需要自己從user表裡查詢有沒有使用者名稱和密碼符合的物件,

Unable to get repr for <class &#39;django.db.models.query.QuerySet&#39;>無法讀取出mysql中的資料

D:\\python_learn\\meiduo_project\\meiduo_mall\\meiduo_mall\\apps\\goods\\views.py:38: UnorderedObjectListWarning: Pagination may yield inconsistent results with an unordered object_list: <class \'

DjangoALLOWED_HOSTS、LOGGING和多個子應用管理

一、ALLOWED_HOSTS配置 可以使用那些iP或者域名來訪問系統 預設為空,可以使用127.0.0.1或者localhost,也可以指定ip