Django 2.1 CSRF 保护 + AJAX

昨天写了一篇关于 Flask-WTF CSRF 保护 & ajax 400 解决方法 的文章,然后今天总结了一下自己的django项目,顺便把django关于CSRF保护也记录一下。

CSRF

CSRF 全拼为 Cross Site Request Forgery,译为跨站请求伪造

攻击过程:

BLABLA...BLA...........
算了,还是看别人写的吧。。。前往


解决

Django 官方提供的解决方案。BLABLA...BLA...........前往
解决方法,简单的,麻烦的都写的很清楚了。


多嘴说一句

在我们使用ajax 没有加上csrf验证的时候,后端通常会报
[WARNING]- Forbidden (CSRF token missing or incorrect.): /views/....
上网找方法,很多人都说直接在方法头加上 @csrf_exempt .
wodetian!, 这是在消灭问题,不是解决问题,强烈不建议取消csrf验证的,但是居然很多人把这种方法当做是技术点记录保存下来,我也差点被骗了,所以在网上找问题时,一定要知道为什么要这么做,否则很容易给系统埋下安全隐患。

你可能感兴趣的:(Django 2.1 CSRF 保护 + AJAX)