django POST请求时CSRF

Posted mr-chenshuai

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了django POST请求时CSRF相关的知识,希望对你有一定的参考价值。

跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
 
跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
 
django对CSRF的保护措施是在生成的每个表单中放置一个自动生成的令牌,通过这个令牌来判断POST请求是否来自同一个网址
 
在form表单中添加 
{% csrf_token %}
<input type="text" name="username" placeholder="username"><br>
        <input type="password" name="password" placeholder="password"><br>
        <button id="btn" type="submit">登录</button>
        {% csrf_token %}

当提交表单时,查看POST请求,除了username和password外,还会有csrfmiddlewaretoken的参数

 

如果想要忽略Django的检查,可以再settings中注释掉csrf

MIDDLEWARE = [
    ‘django.middleware.security.SecurityMiddleware‘,
    ‘django.contrib.sessions.middleware.SessionMiddleware‘,
    ‘django.middleware.common.CommonMiddleware‘,
    #‘django.middleware.csrf.CsrfViewMiddleware‘,
    ‘django.contrib.auth.middleware.AuthenticationMiddleware‘,
    ‘django.contrib.messages.middleware.MessageMiddleware‘,
    ‘django.middleware.clickjacking.XFrameOptionsMiddleware‘,
]

  

以上是关于django POST请求时CSRF的主要内容,如果未能解决你的问题,请参考以下文章

从 Vue.js 向 Django 发送 POST/DELETE 请求时禁止(未设置 CSRF cookie。)

如何在 django 的预检 CORS POST 请求中处理 CSRF?

Django POST 请求失败

Django-csrf中间件

Django后台post请求中的csrf token

CSRF 跨站点请求伪造