Django框架全面讲解 -- 跨站请求伪造(csrf)
来源:互联网 发布:店铺淘宝客2.0 编辑:程序博客网 时间:2024/05/21 12:49
django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。
全局:
中间件 django.middleware.csrf.CsrfViewMiddleware
局部:
@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。@csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。
注:from django.views.decorators.csrf import csrf_exempt,csrf_protect
在Django1.10中,为了防止BREACH攻击,对cookie-form类型的csrf做了一点改进,即在cookie和form中的token值是不相同的
应用
1、普通表单
veiw中设置返回值: return render(request, 'xxx.html', data)html中设置Token: {% csrf_token %}
2、Ajax
对于传统的form,可以通过表单的方式将token再次发送到服务端,而对于ajax的话,使用如下方式。
# view.pyfrom django.template.context import RequestContext# Create your views here.def test(request): if request.method == 'POST': print request.POST return HttpResponse('ok') return render_to_response('app01/test.html',context_instance=RequestContext(request))
# text.html<!DOCTYPE html><html><head lang="en"> <meta charset="UTF-8"> <title></title></head><body> {% csrf_token %} <input type="button" onclick="Do();" value="Do it"/> <script src="/static/plugin/jquery/jquery-1.8.0.js"></script> <script src="/static/plugin/jquery/jquery.cookie.js"></script> <script type="text/javascript"> var csrftoken = $.cookie('csrftoken'); function csrfSafeMethod(method) { // these HTTP methods do not require CSRF protection return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method)); } $.ajaxSetup({ beforeSend: function(xhr, settings) { if (!csrfSafeMethod(settings.type) && !this.crossDomain) { xhr.setRequestHeader("X-CSRFToken", csrftoken); } } }); function Do(){ $.ajax({ url:"/app01/test/", data:{id:1}, type:'POST', success:function(data){ console.log(data); } }); } </script></body></html>
更多:https://docs.djangoproject.com/en/dev/ref/csrf/#ajax
阅读全文
0 0
- Django框架全面讲解 -- 跨站请求伪造(csrf)
- 对CSRF跨站请求伪造攻击的详细讲解
- CSRF(跨站请求伪造)
- CSRF(跨站请求伪造)攻击
- 跨站请求伪造(CSRF/XSRF)
- CSRF(跨站请求伪造)解决方案
- 跨站请求伪造CSRF
- 跨站请求伪造CSRF
- 跨站请求伪造(CSRF)
- 跨站请求伪造CSRF
- 跨站请求伪造CSRF
- 跨站请求伪造(CSRF)
- 跨站请求伪造CSRF
- 跨站请求伪造CSRF
- CSRF跨站请求伪造
- CSRF跨站请求伪造
- CSRF(跨站请求伪造)详细说明
- Web安全测试之跨站请求伪造(CSRF)
- java--多线程--线程安全的解决方法
- SparkStreamingj集成Kafka的几个重要参数
- 算法爱好者——算法题:堆化 ? 待解决
- 收费软件推广模式探索1
- Spring-boot 报错This application has no explicit mapping for /error, so you are seeing this as a fallb
- Django框架全面讲解 -- 跨站请求伪造(csrf)
- python selenium+phontomjs的详细用法及简单案例
- qt中在主窗口添加一个部件
- jquery写的树状列表插件-alvintree
- 几个常用算法的适应场景及其优缺点
- PullToRefresh的实现上拉刷新下拉加载
- 算法爱好者——算法题:乱序字符串 ? 待解决
- u-boot的boot命令
- centos6.4安装Redis