Python之路67-防CSRF跨站请求伪造
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Python之路67-防CSRF跨站请求伪造相关的知识,希望对你有一定的参考价值。
目录
一、简介
二、应用
三、官方示例
一、简介
django为用户实现防止跨站请求伪造的功能,通过中间件django.middleware.csrf.CsrfViewMiddleware来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。
全局:
中间件 django.middleware.csrf.CsrfViewMiddleware
局部:
@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
@csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。
注:from django.views.decorators.csrf import csrf_exempt,csrf_protect
二、应用
1.form表单
<form action="/login/" method="POST">
{% csrf_token %}
<input type="text" name="user"/>
<input type="password" name="pwd"/>
<input type="checkbox" name="rmb" value="1"> 10秒免登录
<input type="submit" name="提交"/>
</form>2.Ajax
给某个ajax单独添加
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="/login/" method="POST">
{% csrf_token %}
<input type="text" name="user"/>
<input type="password" name="pwd"/>
<input type="checkbox" name="rmb" value="1"> 10秒免登录
<input type="submit" name="提交"/>
<input id="btn1" type="button" value="按钮"/>
<input id="btn2" type="button" value="按钮"/>
</form>
<script src="/static/jquery-1.12.4.js"></script>
<script src="/static/jquery.cookie.js"></script>
<script>
$(function () {
$("#btn1").click(function () {
$.ajax({
url: "/login/",
type: "POST",
data: {"user": "root", "pwd": "123"},
headers: {"X-CSRFtoken": $.cookie("csrftoken")},
success: function (arg) {
}
});
});
});
</script>
</body>
</html>给所有ajax添加
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="/login/" method="POST">
{% csrf_token %}
<input type="text" name="user"/>
<input type="password" name="pwd"/>
<input type="checkbox" name="rmb" value="1"> 10秒免登录
<input type="submit" name="提交"/>
<input id="btn1" type="button" value="按钮"/>
<input id="btn2" type="button" value="按钮"/>
</form>
<script src="/static/jquery-1.12.4.js"></script>
<script src="/static/jquery.cookie.js"></script>
<script>
$(function () {
{# XMLHttpRequest#}
$.ajaxSetup({
beforeSend: function (xhr, settings) {
xhr.setRequestHeader("X-CSRFtoken", $.cookie("csrftoken"));
}
});
$("#btn1").click(function () {
$.ajax({
url: "/login/",
type: "POST",
data: {"user": "root", "pwd": "123"},
{# headers: {"X-CSRFtoken": $.cookie("csrftoken")},#}
success: function (arg) {
}
});
});
$("#btn2").click(function () {
$.ajax({
url: "/login/",
type: "POST",
data: {"user": "root", "pwd": "123"},
{# headers: {"X-CSRFtoken": $.cookie("csrftoken")},#}
success: function (arg) {
}
});
});
});
</script>
</body>
</html>三、官方示例
test.html
<!DOCTYPE html>
<html>
<head lang="en">
<meta charset="UTF-8">
<title></title>
</head>
<body>
{% csrf_token %}
<input type="button" onclick="Do();" value="Do it"/>
<script src="/static/plugin/jquery/jquery-1.8.0.js"></script>
<script src="/static/plugin/jquery/jquery.cookie.js"></script>
<script type="text/javascript">
var csrftoken = $.cookie(‘csrftoken‘);
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});
function Do(){
$.ajax({
url:"/app01/test/",
data:{id:1},
type:‘POST‘,
success:function(data){
console.log(data);
}
});
}
</script>
</body>
</html>本文出自 “八英里” 博客,请务必保留此出处http://5921271.blog.51cto.com/5911271/1929944
以上是关于Python之路67-防CSRF跨站请求伪造的主要内容,如果未能解决你的问题,请参考以下文章