Django的csrf豁免:解决CSRF验证失败,请求被中断问题
文章目录一.CSRF介绍二.解决csrf的问题/csrf豁免一.CSRF介绍跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网
1.CSRF介绍
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
这里推荐一篇文章,个人感觉写的不错:Python中csrf攻击与防御
2.解决csrf的问题/csrf豁免
csrf豁免有三种方式,如下:
创建子路由:
url(r'^testCsrf/',views.testCsrf),
生成视图函数:
def testCsrf(request):
return HttpResponse('testCsrf')
使用postman,进行操作
(1)注释中间件
在settings中找到MIDDLEWARE,注释掉:‘django.middleware.csrf.CsrfViewMiddleware’,即可成功
注意:如果注释,所有的csrf都避过了post请求
(2)在方法上添加 @csrf_exempt
@csrf_exempt
def testCsrf(request):
return HttpResponse('testCsrf')
运行结果:
(3)在表单中添加{%csrf_token%}
def testCsrf(request):
if request.method == 'GET':
return render(request,'testCsrf.html')
elif request.method == 'POST':
return HttpResponse('testCsrf')
创建testCsrf.html模板:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="/sess/testCsrf/" method="post">
{% csrf_token %}
<button>提交</button>
</form>
</body>
</html>
运行结果:
点击前:
点击后:
实现机制:
页面中存在{% csrf_token %}时
在渲染的时候,会向Response中添加 csrftoken的Cookie
在提交的时候,会被添加到请求体中, 会被验证有效性
开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!
更多推荐
所有评论(0)