Django中预防CSRF攻击

• CSRF全拼为Cross Site Request Forgery，译为跨站请求伪造。
• CSRF指攻击者盗用了你的身份，以你的名义发送恶意请求。
  ( 包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账…)
• 造成的问题：个人隐私泄露以及财产安全。

CSRF攻击示意图

• 客户端访问服务器时没有同服务器做安全验证
  

防止 CSRF 攻击

步骤:

1. 在客户端向后端请求界面数据的时候，后端会往响应中的 cookie 中设置 csrf_token 的值
2. 在 Form 表单中添加一个隐藏的的字段，值也是 csrf_token
3. 在用户点击提交的时候，会带上这两个值向后台发起请求
4. 后端接受到请求，会做以下几件事件:
   4.1 从 cookie中取出 csrf_token
   4.2 从 表单数据中取出来隐藏的 csrf_token 的值
   4.3 进行对比
5. 如果比较两个值(经过算法运算得出的结果)是一样，那么代表是正常的请求，如果没取到或者比较不一样，代表不是正常的请求，不执行下一步操作
   

CSRF_TOKEN的设置过程

1. 创建视图类
   

2. 添加路由
   

3. 添加表单

• 在form里添加语句
  

<form method="post" action="/tpl/csrf">
   {{ csrf_input }}
<p>
  <label for="fave">Fruit: <input id="fave" name="fave" />label>
p>
<p>
  <label for="name">Name: <input id="name" name="name" />label>
p>
<button>提交button>
form>