认识下csrf

什么是CSFR

答：跨站请求伪造

举例：

一个网站是没有办法控制谁给他发送请求的，例如我下面这几行代码就可以直接由本地访问搜狗搜索去。他不能阻止

<form method="get" action="https://www.sogou.com/sgo">
<input type="text" name="query">
<input type="submit" value="提交">
</form>

结果：

 所以就出现了‘钓鱼网站’。。。

钓鱼网站制作出跟银行app一样的网页，去诱导用户操作，转账等，然后访问银行的接口，实现资金盗取。所以银行区分访问来源的合法性成了关键。

解决方法：

form表单添加上{% csrf_token %}

 

<form method="get" action="https://www.sogou.com/sgo">
    {% csrf_token %}
<input type="text" name="query">
<input type="submit" value="提交">
</form>

 

 

效果：

任何网页都是用户发送请求，由银行返回给用户的，如果你的页面中含有上面的{%csrf_token%},那么服务端会在页面生成的时候，自动生成token值，在post请求提交的时候一起提交给服务端，服务端就可以辨别这个token是不是自己发出去的，从而就可以区分是不是钓鱼网站。token值肯定是动态的，刷新下页面，token会更新一次。

配置文件，控制校验csrf的是这一行内容。如果不想校验csrf,可以注释掉

总结：

现在了解了{%csrf_token%}的意义了，所以以后每次post请求，记得加上这行内容哦！！！