Django中CSRF原理

不要注释掉Csrf
MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', ]

 

前端开始提交时候,就会有个校验Csrf校验

通过form表单提交

    <form action="/login/" method="post">

          {% csrf_token %}
      #HTML会生成一个input元素参与到form表单提交中
<input type="text" name="user"> <input type="text" name="password"> <input type="checkbox" name="rmb" value="1">10秒免登录 <input type="submit" value="提交"> <input id='btn' type="button" value="按钮"> </form>

通过AJAX提交

 

<script>

        {##配置默认在触发AJAX请求加上headers#}
        $(function () {
           $.ajaxSetup({
               {#xhr 所有的ajax底层操作都是XMLHttpRequest#}
               beforeSend:function (xhr,settings) {
                   xhr.setRequestHeader('X-CSRFtoken', $.cookie('csrftoken'));
               }
           })
        });



        $(function () {
            $('#btn').click(function () {
                $.ajax({
                    url:"/login/",
                    type:"POST",
                    {#headers:{'X-CSRFtoken':$.cookie('csrftoken')},#}
                    data:{"user":"root","pwd":"121"},
                    success:function (arg) {
                        console.log(arg);
                    }

                })
            })
        })
    </script>

 

setting中配置django.middleware.csrf.CsrfViewMiddleware是全局变量

当views中可以指定一个模块要进行Csrf,可以在方法上加上装饰器

from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
@csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。
示例:
from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_protect
def test():
  print('1234')


 

前端通过Ajax请求方式判断是否需要进行跨站请求

   <script type="text/javascript">
        var csrftoken = $.cookie('csrftoken');{#获取csrf#}
  
        function csrfSafeMethod(method) {
            // these HTTP methods do not require CSRF protection
            return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
        };{#进行正则提取#}
        $.ajaxSetup({
            beforeSend: function(xhr, settings) {
                if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
                    xhr.setRequestHeader("X-CSRFToken", csrftoken);
                }
            }
        });
        function Do(){
  
            $.ajax({
                url:"/app01/test/",
                data:{id:1},
                type:'POST',
                success:function(data){
                    console.log(data);
                }
            });
  
        }
    </script>

 

posted @ 2021-06-03 17:32  安好_世界  阅读(124)  评论(0编辑  收藏  举报