ajax跨站请求伪造

用ajax提交数据到后台：

{#<!DOCTYPE html>#}
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="/static/jquery-3.2.1.min.js"></script>
    <style>
        .sp{
            color: red;
        }
    </style>
</head>
<body>
<p>姓名：<input type="text"></p>
<p>密码：<input type="password"></p>
<p>
    <button class="sub">提交</button><span class="sp"></span>
</p>
<script>
    function foo() {
            $(".sp").html("");
        }
    $(".sub").click(function () {
        $.ajax({
            url: "/demo_ajax/",
            type: "POST",
            data: {
                username: $(":text").val(),
                password: $(":password").val()
            },
            success: function (data) {
                var data = JSON.parse(data);
                if (!data["flag"]){
                    $(".sp").html("用户名或密码错误"),
                    setTimeout(foo,3000)
                }
            }
        })
    })
</script>
</body>
</html>

　前端采取这种方式提交会报forbidden的错误是因为没有加csrf_token，可是这个不是采用form表单的方式提交的：

怎么解决这种问题呢？一般来说解决这种问题的办法有三种，下边就说一下这三种方式都怎么用：

方式一：

在提交ajax请求的时候给他事先设置一个值：
function foo() {
            $(".sp").html("");
        }
    $(".sub").click(function () {
#######################################
        $.ajaxSetup({
            data: {csrfmiddlewaretoken: '{{ csrf_token }}'}
        });
#######################################
        $.ajax({
            url: "/demo_ajax/",
            type: "POST",
            data: {
                username: $(":text").val(),
                password: $(":password").val()
            },
            success: function (data) {
                var data = JSON.parse(data);
                if (!data["flag"]){
                    $(".sp").html("用户名或密码错误"),
                    setTimeout(foo,3000)
                }
            }
        })
    })

方式二：

body部分：
<form action="">
{% csrf_token %}
<p>姓名：<input type="text"></p>
<p>密码：<input type="password"></p>
</form>
<p>
    <button class="sub">提交</button><span class="sp"></span>
</p>
button要写在外边，否则会默认以get提交
----------------------------------------------------------------------------------------
这里是js代码：
    function foo() {
        $(".sp").html("");
    }
    $(".sub").click(function () {
        $.ajax({
            url: "/demo_ajax/",
            type: "POST",
            data: {
                username: $(":text").val(),
                password: $(":password").val(),
                csrfmiddlewaretoken:$("[name='csrfmiddlewaretoken']").val(),
            },
            success: function (data) {
                var data = JSON.parse(data);
                if (!data["flag"]){
                    $(".sp").html("用户名或密码错误"),
                    setTimeout(foo,3000)
                }
            }
        })
    })

方式三：

        function foo() {
        $(".sp").html("");
    }
    $(".sub").click(function () {
        $.ajax({
            url: "/demo_ajax/",
            type: "POST",
            headers:{"X-CSRFToken":$.cookie('csrftoken')},
            data: {
                username: $(":text").val(),
                password: $(":password").val()
            },
            success: function (data) {
                var data = JSON.parse(data);
                if (!data["flag"]){
                    $(".sp").html("用户名或密码错误"),
                    setTimeout(foo,3000)
                }
            }
        })
    })

方式三可以在form表单提交，也可以不在form表单中提交：

posted @ 2017-11-14 20:13 一石数字欠我15w!!! 阅读(1216) 评论(0) 编辑收藏举报

刷新页面返回顶部

一石数字欠我15W❗

画饼四年不涨薪没事。但是他贪污我10000垫付款不行❗

ajax跨站请求伪造

公告