python之csrf簡介
django為用戶實現防止跨站請求偽造的功能,通過中間件 django.middleware.csrf.CsrfViewMiddleware 來完成。而對於django中設置防跨站請求偽造功能有分為全局和局部。
全局:
中間件 django.middleware.csrf.CsrfViewMiddleware
局部:
@csrf_protect,為當前函數強制設置防跨站請求偽造功能,即便settings中沒有設置全局中間件。
@csrf_exempt,取消當前函數防跨站請求偽造功能,即便settings中設置了全局中間件。
註意:from django.views.decorators.csrf import csrf_exempt,csrf_protect
原理
當用post提交數據的時候,django會去檢查是否有一個csrf的隨機字符串,如果沒有就會報錯,這也是之前我們一直將其註釋的原因,錯誤如下:
在django內部支持生成這個隨機字符串
通過form提交
在form表單裏面需要添加{%csrf_token%}
這樣當你查看頁面源碼的時候,可以看到form中有一個input是隱藏的
總結原理:當用戶訪問login頁面的時候,會生成一個csrf的隨機字符串,,並且cookie中也存放了這個隨機字符串,當用戶再次提交數據的時候會帶著這個隨機字符串提交,如果沒有這個隨機字符串則無法提交成功
cookie中存放的csrftoken如下圖
通過ajax提交
因為cookie中同樣存在csrftoken,所以可以在js中通過:
$.cooke("cstftoken")獲取
如果通過ajax進行提交數據,這裏提交的csrftoken是通過請求頭中存放,需要提交一個字典類型的數據,即這個時候需要一個key。
在views中的login函數中:from django.conf import settings,然後打印print(settings.CSRF_HEADER_NAME)
這裏需要註意一個問題,這裏導入的settings並不是我們在項目文件下看到的settings.py文件,這裏是是一個全局的settings配置,而當我們在項目目錄下的settings.py中配置的時候,我們添加的配置則會覆蓋全局settings中的配置
print(settings.CSRF_HEADER_NAME)打印的內容為:HTTP_X_CSRFTOKEN
這裏的HTTP_X_CSRFTOKEN是django在X_CSRF的前面添加了HTTP_,所以實際傳遞的是就是X_CSRFtoken,而在前端頁面的ajax傳遞的時候由於不能使用下劃線所以傳遞的是X_CSRFtoken
下面是在前端ajax中寫的具體內容:
$("#btn1").click(function () {
$.ajax({
url:"/login/",
type:"POST",
data:{"usr":"root","pwd":"123"},
headers:{ "X-CSRFtoken":$.cookie("csrftoken")},
success:function (arg) {
}
})
})
但是如果頁面中有多個ajax請求的話就在每個ajax中添加headers信息,所以可以通過下面方式在所有的ajax中都添加
$.ajaxSetup({
beforeSend:function (xhr,settings) {
xhr.setRequestHeader("X-CSRFtoken",$.cookie("csrftoken"))
}
});
這樣就會在提交ajax之前執行這個方法,從而在所有的ajax裏都加上這個csrftoken
這裏的xhr是XMLHttpRequest的簡寫,ajax調用的就是這個方法
如果想要實現在當get方式的時候不需要提交csrftoken,當post的時候需要,實現這種效果的代碼如下:
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});
這樣就實現了當GET|HEAD|OPTIONS|TRACE這些方式請求的時候不需要提交csrftoken
python之csrf簡介