Django之CSRF(跨站请求伪造)

一丶什么是CSRF？

CSRF是Cross Site Request Forgery的缩写，翻译过来就是跨站请求伪造。那么什么是跨站请求伪造呢？让我一个词一个词的解释：

1、跨站：顾名思义，就是从一个网站到另一个网站。

2、请求：即HTTP请求。

3、伪造：在这里可以理解为仿造、伪装。

综合起来的意思就是：从一个网站A中发起一个到网站B的请求，而这个请求是经过了伪装的，伪装操作达到的目的就是让请求看起来像是从网站B中发起的，也就是说，让B网站所在的服务器端误以为该请求是从自己网站发起的，而不是从A网站发起的。当然，请求一般都是恶意的。

二丶简介

django为用户实现防止跨站请求伪造的功能，通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

而对于django中设置防跨站请求伪造功能有分为全局和局部。

全局：

中间件 django.middleware.csrf.CsrfViewMiddleware

局部：

@csrf_protect，为当前函数强制设置防跨站请求伪造功能，即便settings中没有设置全局中间件。

@csrf_protect，取消当前函数防跨站请求伪造功能，即便settings中设置了全局中间件。

默认（全局）：
'django.middleware.csrf.CsrfViewMiddleware'  中间间，过滤所有post的请求。是为全局的，需要遵循下面：
1.在html中加上{
   % csrf_token %}
2. views:的返回用render方法


去掉（全局）：'django.middleware.csrf.CsrfViewMiddleware'就不需要遵循csrf
    
设置（局部）也可以通过装饰器来设定局部的CSRF。（指定某些遵循csrf）
    @csrf_protect
        在html中加上{
   % csrf_token %}
        views:的返回用render
    
使用装饰器也可以（局部）不遵循CSRF（指定某些不遵循csrf）
    @csrf_exempt

注：from django.views.decorators.csrf import csrf_exempt,csrf_protect

三、应用

login.html

<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Titletitle>
head>
<body>
    <form method="post" action="/app/login/" class="f1">
        {% csrf_token %}
        <input type="text" placeholder="username" name="user"/>
        <input type="password" placeholder="password" name="pwd"/>
        <input type="submit" value="提交_form"/>