Django视图解决csrftoken认证

CRSF介绍：

　　CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。

CRSF攻击原理：

　　

预防CSRF攻击（这里只说token验证一种方法，其他方法请自行百度）

token验证：

（1）在 HTTP 请求中以参数的形式加入一个随机产生的 token，并在服务器端建立一个拦截器来验证这个 token，如果请求中没有 token 或者 token 内容不正确，则认为可能是 CSRF 攻击而拒绝该请求。

（2）token需要足够随机
（3）敏感的操作应该使用POST，而不是GET，以form表单的形式提交，可以避免token泄露。

在Django中怎么实现呢？

1.在FBV中解决csrf认证：

　　只需在函数加上@csrf_exempt

from django.views.decorators.csrf import csrf_exempt

@csrf_exempt
def user(request):
    pass

 

2.在CBV中解决csrf认证：

　　-在dispatch方法中（单独方法有效）　　@method_decorator(csrf_exempt)

　　方式一：

from django.views.decorators.csrf import csrf_exempt,csrf_protect
from django.utils.decorators import method_decorator
class ps(View):
    @method_decorator(csrf_exempt)
    def dispatch(self, request, *args, **kwargs):
        return super(ps,self).dispatch(request, *args, **kwargs)
    
    def get(self,request):
        return HttpResponse("GET2")
    def post(self,request):
        return HttpResponse("POST2")

　　方式二：

from django.views.decorators.csrf import csrf_exempt,csrf_protect
from django.utils.decorators import method_decorator
@method_decorator(csrf_exempt,name='dispatch')
class ps(View):
    def get(self,request):
        return HttpResponse("GET2")
    def post(self,request):
        return HttpResponse("POST2")

 

总结：CBV要解决（取消）csrf认证需通过以上方式执行

转载于:https://www.cnblogs.com/c-pyday/p/11157328.html