亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Django CSRF 簡述

發布時間:2020-07-14 19:51:58 來源:網絡 閱讀:876 作者:beanxyz 欄目:開發技術

CSRF(Cross-site request forgery),中文名稱是跨站請求偽造。什么意思呢?簡單的說,就是用戶在網站A登錄之后,網站生成了對應的Cookie等信息,然后這個時候,用戶又打開了網站B,網站B可以在提交表單的時候,指定對象的地址為網站A,這樣就對網站A提出了一個請求。


為了避免這種惡意請求,一般的方法是在客戶端生成一個Token,每次提交來的請求,服務器都會驗證這個Token之后才會放行。Django里面,默認配置文件里面有一個中間件,可以幫我們實現這個功能。


MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]


在前面的例子里面,我們都是注釋掉了csrf這個中間件。因為一旦使用的話,會自動在Cookie里面生成一個CSRFToken。相對應的,在模板文件里面我們也必須提供對應的csrftoken,否則提交post請求的時候,就會出現下面的錯誤。

Django CSRF 簡述


在打開著CSRF的中間件之后,如果觀察Cookie,會發現他自動生成了一個csrftoken的鍵值對。



Django CSRF 簡述


如何使用呢?最簡單的方式就是在模板文件的form里面添加一行 {% csrf_token %},這樣就行了

<form action="/login/" method="POST">
        {% csrf_token %}
        <input type="text" name="user" />
        <input type="text" name="pwd" />
        <input type="checkbox" name="rmb" value="1" /> 10秒免登錄
        <input type="submit" value="提交" />
        <input id="btn1" type="button" value="按鈕" />
        <input id="btn2" type="button" value="按鈕" />
    </form>


除了POST提交數據,我們還可以通過AJAX來提交數據。那么在AJAX里面應該如何使用呢?有兩種方式:

  1. 可以在具體的一個AJAX請求里面添加一個header,header里面的csrftoken通過cookie獲取


$('#btn1').click(function () {
                $.ajax({
                    url: '/login/',
                    type:"GET",
                    data: {'user': 'root', 'pwd': '123'},
                    headers: {'X-CSRFtoken': $.cookie('csrftoken')},
                    success:function(arg){
                    }
                })
            });


2.我們還可以針對所有的AJAX請求統一配置,這樣在執行AJAX發送之前 會自動執行下面的代碼

$.ajaxSetup({
                beforeSend: function(xhr,settings){
                    xhr.setRequestHeader('X-CSRFtoken', $.cookie('csrftoken'));
                }
            });


除了通過中間件全局的配置CSRF,我們還可以進行局部的調整,允許或者不允許執行CSRF。


Django提供了兩個裝飾器函數 csrf_exempt 和csrf_protector。


我們如果關閉了全局的CSRF,但是又希望對個別函數進行保護,可以在對應的函數上面使用csrf_protector這個裝飾器。(不推薦)


例如:

from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_protect
def index(request):
    print(request.session)


另外一個情況就是,我們打開了全局的CSRF,但是希望對個別函數不進行保護,那么使用csrf_exempt

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

普安县| 项城市| 方城县| 凤阳县| 揭东县| 舒城县| 冀州市| 灵台县| 广东省| 台安县| 吐鲁番市| 岐山县| 昭通市| 凌海市| 桑日县| 临江市| 泸溪县| 拜泉县| 宜丰县| 龙陵县| 西城区| 根河市| 仙游县| 涪陵区| 安西县| 凤山市| 七台河市| 宁明县| 易门县| 曲阜市| 桃源县| 浮山县| 于都县| 南开区| 通海县| 那曲县| 蒙城县| 涿州市| 澄城县| 庐江县| 盐源县|