如何解决Django中CSRF问题
Posted 谭某人
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何解决Django中CSRF问题相关的知识,希望对你有一定的参考价值。
CSRF是什么?
CSRF(Cross Site Request Forgery,跨站伪造请求)。举个例子来简单介绍下。有A、B两个web网站,其中A网站存在CSRF漏洞,B网站是攻击者特意设计成一个具有CSRF攻击性的网站,C为一普通用户,当用户C在浏览器中登录A网站后,A网站会将用户的登录信息如cookie返回并保存在浏览器,如果用户C在浏览器中再访问B网站,B网站会诱导用户C执行一个点击操作之类的,这个时候B网站就可以使用用户C在A网站的登录态并伪造用户C向网站A发起请求,而网站A却不能分辨这个请求是来自于恶意攻击网站B。因此为了网站的安全,我们都需要做CSRF防御,确保每一次请求都是合法的。
Django中怎么实现CSRF校验?
Django不同版本对于csrf问题处理方式不太一样,我用的Django2.0,在使用ajax请求时出现了csrf问题,网上找了一大堆的解决方案,有添加 @csrf_protect,有改settings.py文件的,有改render方式等等,都没有解决我的问题,去了Django官网搜了下ajax csrf关键字,按照官网提供的解决方案,csrf问题很快得到解决,先附上官方解决方案链接,主要是在html中增加下面几段js代码即可。
<script type="text/javascript">
// 获取csrftoken
var csrftoken = getCookie('csrftoken');
$.ajax({
url:'xxx',
type:'POST',
data:{},
dataType: 'json',
beforeSend: function(xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
},
success:function(r){
},
})
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie !== '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) === (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
</script>
推荐文章:
一个程序员说话的地方
以上是关于如何解决Django中CSRF问题的主要内容,如果未能解决你的问题,请参考以下文章