Django框架全面讲解 -- 跨站请求伪造（csrf）

Django框架全面讲解 -- 跨站请求伪造（csrf）

django为用户实现防止跨站请求伪造的功能，通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。

全局：

中间件 django.middleware.csrf.CsrfViewMiddleware

•  

局部：

@csrf_protect，为当前函数强制设置防跨站请求伪造功能，即便settings中没有设置全局中间件。
@csrf_exempt，取消当前函数防跨站请求伪造功能，即便settings中设置了全局中间件。

•  

注：from django.views.decorators.csrf import csrf_exempt,csrf_protect

　　在Django1.10中，为了防止BREACH攻击，对cookie-form类型的csrf做了一点改进，即在cookie和form中的token值是不相同的

应用 
1、普通表单

veiw中设置返回值：
     return render(request, 'xxx.html', data)

html中设置Token:
　　{% csrf_token %}

•  

2、Ajax 
对于传统的form，可以通过表单的方式将token再次发送到服务端，而对于ajax的话，使用如下方式。

# view.py

from django.template.context import RequestContext
# Create your views here.


def test(request):

    if request.method == 'POST':
        print request.POST
        return HttpResponse('ok')
    return  render_to_response('app01/test.html',context_instance=RequestContext(request))

•  

# text.html




    
    


    {% csrf_token %}

    

    
    
    

•  

更多：https://docs.djangoproject.com/en/dev/ref/csrf/#ajax

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/shentong1/article/details/78829804