django的csrf跨站請求怎么偽造

今天小編給大家分享一下django的csrf跨站請求怎么偽造的相關知識點，內容詳細，邏輯清晰，相信大部分人都還太了解這方面的知識，所以分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后有所收獲，下面我們一起來了解一下吧。

1.什么是跨站請求偽造

請看圖：

我們自行寫了一個網站模仿中國銀行，用戶不知道是否是真的中國銀行，并且提交了轉賬信息，生成一個form表單，向銀行服務器發送轉賬請求，這個form表單和正規銀行網站的form表單一模一樣，只不過里面隱藏著改變了轉賬人的信息，改成了我們自己！！

然后，銀行也不知道，因為拿到的表單是正規表單一模一樣的，就給我們轉了賬！！

2.如何規避跨站請求偽造（csrf校驗）

一般后端都會自帶一個csrf校驗，就是在給前端的form表單一個唯一的標識，form表單提交給后端，后端需要校驗這個唯一標識，不符合就拒絕請求！！返回403（forbidden）

3.如何符合csrf校驗

在我們自己寫的正規網站，我們就需要在前端寫一些標識，這個標識是告訴后端，這個請求是正確的，是我們正規的網站發出的，不是釣魚網站！！

3.1 form表單如何符合校驗

在需要提交的form表單里的任意位置加上{% form_token %}，這時就符合了校驗！

3.2 ajax如何符合校驗

// 第一種 利用標簽查找獲取頁面上的隨機字符串
data:{"username":'jason','csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()}
// 第二種 利用模版語法提供的快捷書寫
data:{"username":'jason','csrfmiddlewaretoken':'{{ csrf_token }}'}
// 第三種 通用方式直接拷貝js代碼并應用到自己的html頁面上即可
data:{"username":'jason'}

ajax通過csrf校驗的js代碼

function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');

function csrfSafeMethod(method) {
  // these HTTP methods do not require CSRF protection
  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

$.ajaxSetup({
  beforeSend: function (xhr, settings) {
    if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
      xhr.setRequestHeader("X-CSRFToken", csrftoken);
    }
  }
});

4.csrf相關的裝飾器

當我們在django中注釋掉csrf的中間件時，就表示網站所有的post請求都不進行校驗；打開csrf中間件時，就表示對于所有的post請求都需要進行校驗！

這是，我們思考兩個問題：

1.網站整體都不校驗csrf，就單單幾個視圖函數需要校驗怎么辦
2.網站整體都校驗csrf，就單單幾個視圖函數不校驗怎么辦

這時，我們需要引入兩個裝飾器！

4.1 針對FBV的csrf裝飾器

from django.views.decorators.csrf import csrf_protect,csrf_exempt
from django.utils.decorators import method_decorator

# @csrf_exempt   #在打開csrf時對局部視圖函數不進行校驗
# @csrf_protect  #在關閉csrf時對局部視圖函數進行校驗
def transfer(request):
    if request.method == 'POST':
        username = request.POST.get('username')
        target_user = request.POST.get('target_user')
        money = request.POST.get('money')
        print('%s給%s轉了%s元'%(username,target_user,money))
    return render(request,'transfer.html')

4.2 針對CBV的csrf裝飾器

from django.views import View

# @method_decorator(csrf_protect,name='post')  # 針對csrf_protect 第二種方式可以
# @method_decorator(csrf_exempt,name='post')  # 針對csrf_exempt 第二種方式不可以
@method_decorator(csrf_exempt,name='dispatch')
class MyCsrfToken(View):
    # @method_decorator(csrf_protect)  # 針對csrf_protect 第三種方式可以
    # @method_decorator(csrf_exempt)  # 針對csrf_exempt 第三種方式可以
    def dispatch(self, request, *args, **kwargs):
        return super(MyCsrfToken, self).dispatch(request,*args,**kwargs)

    def get(self,request):
        return HttpResponse('get')

    # @method_decorator(csrf_protect)  # 針對csrf_protect 第一種方式可以
    # @method_decorator(csrf_exempt)  # 針對csrf_exempt 第一種方式不可以
    def post(self,request):
        return HttpResponse('post')
		
csrf_protect  需要校驗
    針對csrf_protect符合我們之前所學的CBV裝飾器的三種玩法
csrf_exempt   忽視校驗
    針對csrf_exempt只能給dispatch方法加才有效

以上就是“django的csrf跨站請求怎么偽造”這篇文章的所有內容，感謝各位的閱讀！相信大家閱讀完這篇文章都有很大的收獲，小編每天都會為大家更新不同的知識，如果還想學習更多的知識，請關注億速云行業資訊頻道。