链条传动

砥砺前行,不忘初心!

  博客园 :: 首页 :: 博问 :: 闪存 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理 ::

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。

与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

 

Django 中自带了 防止CSRF攻击的功能,但是一些新手不知道如何使用,给自己编程带来了麻烦。

GET 请求不需要 CSRF 认证,POST 请求需要正确认证才能得到正确的返回结果。一般在POST表单中加入 {% csrf_token %}

<form method="POST" action="/post-url/">
    {% csrf_token %}
     
    <input name='lh' value="提交">
</form>

 

如果使用Ajax调用的时候,就要麻烦一些。(一般错误显示为403错误)

需要在模板文件中添加以下内容:

<script src="/static/js/jquery.cookie.js"></script>   #需要引用jquery.cookie.js(自己下载),下面要调用cookie

<script>
//ajax csrf设置
  var csrftoken = $.cookie('csrftoken');
  function csrfSafeMethod(method) {
     // these HTTP methods do not require CSRF protection
      return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
   }
$.ajaxSetup({ beforeSend: function(xhr, settings) {   
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {   xhr.setRequestHeader("X-CSRFToken", csrftoken); } } }); </script>

 

posted on 2016-09-20 14:07  链条君  阅读(939)  评论(0编辑  收藏  举报