Django---csrf_token

1、csrf_token的作用

django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。

2、设置csrf_token

对于django中设置防跨站请求伪造功能有分为全局和局部。

(1)全局

settings.py文件中:

MIDDLEWARE=[
  ......
  django.middleware.csrf.CsrfViewMiddleware
]

若要取消csrf认证,就将该行注释掉即可(用postman模拟post请求时,需要将该行注释掉)

(2)局部

① FBV模式:

from django.views.decorators.csrf import csrf_exempt,csrf_protect

@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。

@csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

只需要在函数前加上相应的装饰器即可

② CBV模式:

  第一种方式:

  在dispatch方法前加装饰器@method_decorator(csrf_exempt)或@method_decorator(csrf_protect)

class StudentsView(View):
    @method_decorator(csrf_exempt)
    def dispatch(self, request, *args, **kwargs):
        return super(StudentsView,self).dispatch(request,*args, **kwargs)

    def get(self,request,*args,**kwargs):
        return HttpResponse('GET')

    def post(self,request,*args,**kwargs):
        return HttpResponse('POST')

    def delete(self,request,*args,**kwargs):
        return HttpResponse('DELETE')

 

  第二种方式:

  在类前面加装饰器@method_decorator(csrf_exempt,name='dispatch')或@method_decorator(csrf_protect,name='dispatch')

@method_decorator(csrf_exempt,name='dispatch')
class StudentsView(View):
    def get(self,request,*args,**kwargs):
        return HttpResponse('GET')

    def post(self,request,*args,**kwargs):
        return HttpResponse('POST')

    def delete(self,request,*args,**kwargs):
        return HttpResponse('DELETE')

 

3、原理

在用户访问django的可信站点时,django反馈给用户的表单中有一个隐含字段csrftoken,这个值是在服务器端随机生成的,每一次提交表单都会生成不同的值。当用户提交django的表单时,服务器校验这个表单的csrftoken是否和自己保存的一致,来判断用户的合法性。当用户被csrf攻击从其他站点发送精心编制的攻击请求时,由于其他站点不可能知道隐藏的csrftoken字段的信息这样在服务器端就会校验失败,攻击被成功防御,这样就能避免被 CSRF 攻击。


csrf在ajax提交的时候通过请求头传递的给后台的;csrf在前端的key为:X-CSRFtoken,到后端的时候django会自动添加HTTP_,最后为HTTP_X_CSRFtoken
csrf在form中提交的时需要在前端form中添加{%csrftoken%},form中会自动生成一个隐藏的input

 

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/sjx6688/p/10059379.html