Django之CSRF-低调大师

Django之CSRF

2017-11-28 564 89

一、什么是CSRF

CSRF, Cross Site Request Forgery, 跨站伪造请求。举例来讲，某个恶意的网站上有一个指向你的网站的链接，如果某个用户已经登录到你的网站上了，那么当这个用户点击这个恶意网站上的那个链接时，就会向你的网站发来一个请求，你的网站会以为这个请求是用户自己发来的，其实呢，这个请求是那个恶意网站伪造的。

Django为用户实现跨站请求伪造保护的功能，通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局设置和局部设置。

二、Django提供CSRF防护机制

Django第一次响应某个客户端的请求时，会在服务器端随机生成一个token，然后把这个token放到cookie中返回给客户端。然后客户端每次POST请求时都会带上这个token，这样就避免了CSRF攻击。

在返回的HTTP响应的cookie中，Django会添加一个csrftoken字段，值为随机生成的token
在POST表单中，必须包含一个csrfmiddlewaretoken隐藏字段，需要在模板中添加{% csrf_token %}自动生成
在处理POST请求之前，Django会验证cookie中csrftoken和表单中csrfmiddlewaretoken的值是否一致。如果一致，则表明这是一个合法请求。否则这个请求就是伪造的，返回403 Forbidden。
在Ajax POST请求中，添加一个"X-CSRFToken"头部，值为cookie中的csrftoken的值。

三、CSRF设置

1. 全局设置（中间件）

 
        django.middleware.csrf.CsrfViewMiddleware

2. 局部设置（视图函数）

 
        from 
        django.views.decorators.csrf 
        import 
        csrf_exempt,csrf_protect 
       
        @csrf_protect  
        # 为当前函数强制设置防跨站请求伪造功能，即便settings中没有设置CSRF中间件。 
       
        def 
        func(): 
       
        pass 
       
        @csrf_exempt  
        # 取消当前函数防跨站请求伪造功能，即便settings中设置了CSRF中间件。 
       
        def 
        func(): 
       
        pass

四、应用CSRF

1. 前端Form表单中设置CSRF

 
        <form method
        =
        "post"
        > 
       
        {
        % 
        csrf_token 
        %
        } 
       
        ... 
       
        <
        /
        form>

2. 自动在每个Ajax请求头部中添加"X-CSRFToken"

 
        /
        / 
        导入jquery.cookie.js 通过$.cookie(
        'csrftoken'
        )获取csrf_token 
       
        /
        / 
        beforeSend在每个Ajax请求之前自动设置请求头部
        "X-CSRFToken" 
       
        <script src
        =
        "/static/plugin/jquery/jquery-1.8.0.js"
        ><
        /
        script> 
       
        <script src
        =
        "/static/plugin/jquery/jquery.cookie.js"
        ><
        /
        script> 
       
        <script 
        type
        =
        "text/javascript"
        > 
       
        var csrftoken 
        = 
        $.cookie(
        'csrftoken'
        ); 
       
        function csrfSafeMethod(method) { 
       
        /
        / 
        these HTTP methods do 
        not 
        require CSRF protection 
       
        return 
        (
        /
        ^(GET|HEAD|OPTIONS|TRACE)$
        /
        .test(method)); 
       
        } 
       
        $.ajaxSetup({ 
       
        beforeSend: function(xhr, settings) { 
       
        if 
        (!csrfSafeMethod(settings.
        type
        ) && !this.crossDomain) { 
       
        xhr.setRequestHeader(
        "X-CSRFToken"
        , csrftoken); 
       
        } 
       
        } 
       
        }); 
       
        <
        /
        script>

3. 单独在Ajax请求中设置"X-CSRFToken"头部

 
        <script src
        =
        "/static/plugin/jquery/jquery-1.8.0.js"
        ><
        /
        script> 
       
        <script src
        =
        "/static/plugin/jquery/jquery.cookie.js"
        ><
        /
        script> 
       
        <script 
        type
        =
        "text/javascript"
        > 
       
        $.ajax({ 
       
        headers:{
        "X-CSRFToken"
        :$.cookie(
        'csrftoken'
        )}, 
       
        ... 
       
        }) 
       
        <
        /
        script> 
       
   本文转自戴柏阳的博客博客51CTO博客，原文链接http://blog.51cto.com/daibaiyang119/2044282如需转载请自行联系原作者

daibaiyang119

微信关注我们

原文链接：https://yq.aliyun.com/articles/538180

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

CocosCreator游戏开发---菜鸟学习之路（一）

PS（废话）：辞职后在家好久好久了，久到经济不允许了，接着就准备再次出去找工作了，然而工作哪有那么好找，特别是像我这种菜鸟。而且我还准备转行，准备去做游戏，技能等级接近于0，那工作就更难找了。既然如此，反正都宅在家里那么久了，就再继续宅一下吧，顺便把游戏开发技能练一下，以后也好找工作呀。废话了这么久赶紧开始正题吧。序言作为初始章节，我准备简单将我的学习路线先讲下吧。本文适合适合的阅读对象为有一定自学能力的用户，毕竟我自己也是菜鸟，所以写出来的东西肯定会有部分内容会误人子弟，所以还请各位见谅。我的目标是做一款MMORPG游戏,所以本系列的教程可能也会围绕着相应的主题去做编写。至于最终会做成什么样子，我也不知道。因为我特么的也是个新手。甚至于能不能做到我都不知道。所以各位码友慎重入坑。学习内容本文涉及到的学习内容包含以下几个方面，请各位自行学习入门教程： javescipt CocosCreator Pomelo(网易的开源服务端架构) Visual Studio Code 其他的（我暂时还没想到）相关学习资料 CocosCreator 官方文档论坛某人整理的资料接触c...

493

从零开始学习OpenCL开发（一）架构【转】

转自：http://blog.csdn.net/leonwei/article/details/8880012 多谢大家关注转载本文请注明：http://blog.csdn.net/leonwei/article/details/8880012 本文将作为我《从零开始做OpenCL开发》系列文章的第一篇。 1 异构计算、GPGPU与OpenCL OpenCL是当前一个通用的由很多公司和组织共同发起的多CPU\GPU\其他芯片异构计算（heterogeneous）的标准，它是跨平台的。旨在充分利用GPU强大的并行计算能力以及与CPU的协同工作，更高效的利用硬件高效的完成大规模的（尤其是并行度高的）计算。在过去利用GPU对图像渲染进行加速的技术非常成熟，但是我们知道GPU的芯片结构擅长大规模的并行计算（PC级的GPU可能就是CPU的上万倍），CPU则擅长逻辑控制，因此不只局限与图像渲染，人们希望将这种计算能力扩展到更多领域，所以这也被称为GPGPU（即通用处计算处理的GPU）。简单的说，我们的CPU并不适合计算，它是多指令单数据流（MISD）的体系结构，更加擅长的是做逻辑控制...

549

资源下载

更多资源

Mario，低调大师唯一一个Java游戏作品

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Oracle Database，又名Oracle RDBMS

Oracle Database，又名Oracle RDBMS，或简称Oracle。是甲骨文公司的一款关系数据库管理系统。它是在数据库领域一直处于领先地位的产品。可以说Oracle数据库系统是目前世界上流行的关系数据库管理系统，系统可移植性好、使用方便、功能强，适用于各类大、中、小、微机环境。它是一种高效率、可靠性好的、适应高吞吐量的数据库方案。

Eclipse（集成开发环境）

Eclipse 是一个开放源代码的、基于Java的可扩展开发平台。就其本身而言，它只是一个框架和一组服务，用于通过插件组件构建开发环境。幸运的是，Eclipse 附带了一个标准的插件集，包括Java开发工具（Java Development Kit，JDK）。

Java Development Kit(Java开发工具)

JDK是 Java 语言的软件开发工具包，主要用于移动设备、嵌入式设备上的java应用程序。JDK是整个java开发的核心，它包含了JAVA的运行环境（JVM+Java系统类库）和JAVA工具。