python学习笔记-django crsf

csrf（跨站请求伪造）

django通过中间件 django.middleware.csrf.CsrfViewMiddleware 为用户实现防止跨站请求伪造的功能。

原理:在用户访问django的可信站点时，django在用户表单中生成一个隐含字段（csrftoken）,值是在服务器端随机生成的，

当用户提交表单时，服务器通过检验表单的 csrftoken值是否和自己保存的一致，来判断用户的合法性。

源码分析：

CsrfViewMiddleware类的 process_request() 方法首先从配置文件获取     CSRF_USE_SESSIONS的值，如果有值从session获取 CSRF_SESSION_KEY的值并返回

如果没有从请求的COOKIE中获取 CSRF_COOKIE_NAME的值，没有返回 None。

# process_request() 代码片段

def process_request(self, request):

        csrf_token = self._get_token(request)

        if csrf_token is not None:

            request.META['CSRF_COOKIE'] = csrf_token

    def _get_token(self, request):

        if settings.CSRF_USE_SESSIONS:

            try:

                return request.session.get(CSRF_SESSION_KEY)

            except AttributeError:

                raise ImproperlyConfigured(

                    'CSRF_USE_SESSIONS is enabled, but request.session is not '

                    'set. SessionMiddleware must appear before CsrfViewMiddleware '

                    'in MIDDLEWARE%s.' % ('_CLASSES' if settings.MIDDLEWARE is None else '')

                )

        else:

            try:

                cookie_token = request.COOKIES[settings.CSRF_COOKIE_NAME]

            except KeyError:

                return None

            csrf_token = _sanitize_token(cookie_token)

            if csrf_token != cookie_token:

                request.csrf_cookie_needs_reset = True

            return csrf_token

CsrfViewMiddleware process_view() 方法首先检查函数是否被 csrf_exempt装饰器装饰，如果被装饰则返回 None,

如果没被装饰则从请求头中取出 CSRF_COOKIE值，与表单中的 csrfmiddlewaretoken的值进行校验，

校验通过程序接着执行，否则返回 403 Forbidden错误。

# process_view() 代码片段

    def process_view(self, request, callback, callback_args, callback_kwargs):

        if getattr(request, 'csrf_processing_done', False):

            return None

        if getattr(callback, 'csrf_exempt', False):

            return None

            csrf_token = request.META.get('CSRF_COOKIE')

            if csrf_token is None:

                return self._reject(request, REASON_NO_CSRF_COOKIE)

            request_csrf_token = ""

            if request.method == "POST":

                try:

                    request_csrf_token = request.POST.get('csrfmiddlewaretoken', '')

                except IOError:

                    pass

            if request_csrf_token == "":

                request_csrf_token = request.META.get(settings.CSRF_HEADER_NAME, '')

            request_csrf_token = _sanitize_token(request_csrf_token)

            if not _compare_salted_tokens(request_csrf_token, csrf_token):

                return self._reject(request, REASON_BAD_TOKEN)

        return self._accept(request)

实现django防止跨站请求伪造方式：

在django的settings配置文件中 MIDDLEWARE 列表中添加 'django.middleware.csrf.CsrfViewMiddleware' 中间件，此方式会在全局进行csrf验证，

如果某个视图函数或者类不进行验证，可以通过 csrf_exempt装饰器实现

    示例：

    from django.views.decorators.csrf import csrf_exempt

    @csrf_exempt 

     def index(request):

            pass

也可以把csrf_exempt装饰器直接加在URL路由映射中，使某个视图函数不经过CSRF验证

示例:

 from django.views.decorators.csrf import csrf_exempt

from app import views

url(r'^index/',csrf_exempt(views.index)),

如果没有在django项目的settings文件中没有设置 'django.middleware.csrf.CsrfViewMiddleware' 中间件，可以通过 csrf_protect装饰器实现 CSRF验证

示例:

from django.views.decorators.csrf import csrf_protect

@csrf_protect 

def index(request): 

        pass

或者

from django.views.decorators.csrf import csrf_protect

url(r'^index/',csrf_protect(views.index)),