Django之CSRF

Posted 2021-03-19 treelight

什么是CSRF？

CSRF（Cross-site request forgery），中文名称是跨站请求伪造。攻击情况如下：

A电脑登陆了B网站，而同时又没有关闭浏览器，则cookie是会存在的。A电脑又登陆了C网站，而此网站可能具有攻击性。此时C返回A一个网页，有form请求，如果是提交带着cookie提交给C，则C则获取A的cookie，而可以访问其他访问。

如何防CSRF攻击

一般情况下，POST表单提交就有CSRF攻击的风险。而要防止CSRF攻击可以这样，在第一次GET请求时，会返回加密的字符串给客户端，此字符串只能服务器才能解密。下一次提交POST表单时，则用户在善带着此字符串提交。

在FORM表单中防止CSRF攻击

如果在form表彰中不带csrf_token标签进行post请求，则会出现以下情况

解决办法：
在模板的form表单中添加{% csrf_token %}

在Ajax提交中防止CSRF攻击

方式一、在每个Ajax请求中添加请求头

步骤一、获取csrf_token

步骤二、在请求头中添加csrf_token键值对。

方式二、在Ajaxsetup中添加请求头，这样就不用每个ajax请求都需要添加头部信息

最好加上判断是否是post请求。

CSRF的禁用与启用

默认情况下，django是全局开启csrf防攻击的功能。

全局禁用方法

局部的禁用与启用

导入：from django.views.decorators.csrf import csrf_exempt, csrf_protect

局部禁用：在view函数前加入@csrf_exempt，配合全局启用使用

局部启用：在view函数前加入@csrf_protect，配合全局禁用使用