【安全】（二）Django之csrf防御

1、什么是CSRF？

　　CSRF(Cross-site request forgery), 中文名称：跨站请求伪造，也被称为：one click attack/session riding,缩写为：CSRF/XSRF

2、CSRF攻击过程

　　从上图可以看出，要完成一次CSRF攻击，受害者必须依次完成两个步骤：

　　　　1、登陆受信任的网站A，并在本地客户端（浏览器）产生Cookie；

　　　　2、在不退出A的情况下(准确的说是在访问A网站产生的Cookie不过期的情况下)，访问危险网站B;

3、Django 的CSRF防御机制

　　注：django框架只对来自客户端的post请求进行CSRF防御，get请求django默认是合法的请求

　　django 在第一次响应来自某个客户端的请求时，会在服务器端随机产生一个token，把这个token放在cookie里，然后每次

　　post请求都会携带这个token，这样就能避免CSRF攻击。

4、具体的实现方法

　　django通过中间件 django.middleware.csrf.CsrfViewMiddleware 来防止跨站请求伪造，而对于django中设置防止，跨站请求伪造功能分为全局设置和局部设置。

全局：

　　中间件 django.middleware.csrf.CsrfViewMiddleware 

　　注：中间件会在全局上进行防止post请求的CSRF攻击

局部：

　　1、@csrf_protect,为当前View视图函数强制设置防CSRF攻击，即便settings中没有设置全局的中间件

　　2、@csrf_exempt,取消当前View视图函数防止CSRF攻击，即便settings中设置了全局中间件（也可以在url中取消csrf防护）

　　注：from django.views.decorators.csrf import csrf_exempt, csrf_protect        

@csrf_protect
def ajax_demo(request):
    return render(request, 'ajax_demo.html')

具体应用

{% csrf_token %}或在Ajax中Post请求时加上 csrfmiddlewaretoken='{{ csrf_token }}'