DRF 前后端分离项目如何解决CSRF 数据交互

★ 背景说明

 在Django REST framework (DRF) 前后端分离项目中，解决CSRF问题通常有以下几种方法：
1. 禁用CSRF验证，但这会降低安全性。(不推荐)
2. 使用csrftoken cookie
3. 在前端每次 POST、PUT 或 DELETE 请求前先发起一个GET请求(GET请求不需要经过CSRF检查)获取CSRFToken并将响应中的CSRFToken添加到新的请求头中。(推荐)

★ 解决思路

方案二

步骤一: 在返回给浏览器(客户端)的响应中设置 csrftoken相关的 Cookie信息(需要保证csrftoken在有效期内)

步骤二：在发送请求前获取最新的CSRF token，并且在前端的每次请求中都包含了这个token

 // 首先，获取CSRF token
function getCookie(name) {
    let cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        const cookies = document.cookie.split(';');
        for (let i = 0; i < cookies.length; i++) {
            const cookie = cookies[i].trim();
            // 假设CSRF cookie名为csrftoken
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
const csrftoken = getCookie('csrftoken');
 
// 然后，配置axios全局默认值
axios.defaults.headers.common['X-CSRFToken'] = csrftoken;
axios.defaults.headers.common['X-Requested-With'] = 'XMLHttpRequest';
 
// 之后，所有通过axios发送的请求都会自动携带CSRF token

方案三

步骤一：使用请求拦截器在每次 POST、PUT 或 DELETE 请求中前先发起一个GET请求获取CSRF token 添加到请求头中

 // frontend.js
 
import axios from 'axios';
 
const api = axios.create({
    baseURL: '/api/',
    headers: {
        'Content-Type': 'application/json'
    }
});
 
api.interceptors.request.use(async config => {
    const { method } = config;
    if (method === 'post' || method === 'put' || method === 'delete') {
        const csrfToken = await getCSRFToken();
        config.headers['X-CSRF-Token'] = csrfToken;
    }
    return config;
});
 
async function getCSRFToken() {
    const response = await axios.get('/get-csrf-token/');
    return response.data.csrfToken;
}
 
async function postData(url = '', data = {}) {
    const response = await api.post(url, data);
    return response.data;
}
 
postData('data/', { key: 'value' })
    .then(data => {
        console.log(data);
});

步骤二：在Django后端中使用 Django REST framework 编写了类视图，实现返回csrftoken的逻辑

视图views.py

 # views.py
from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework import status
from django.middleware.csrf import get_token
 
class CSRFTokenView(APIView):
    def get(self, request):
        csrf_token = get_token(request)
        return Response({'csrfToken': csrf_token})
 
    def post(self, request):
        # 处理 POST 请求的逻辑
        return Response({'message': 'Data received'}, status=status.HTTP_200_OK)

路由urls.py

 # urls.py
 
from django.urls import path
from .views import CSRFTokenView
 
urlpatterns = [
    path('get-csrf-token/', CSRFTokenView.as_view(), name='get_csrf_token'),
    path('api/data/', CSRFTokenView.as_view(), name='post_data'),
]

代码说明：

 在这个完整的示例中，前端代码使用 axios 创建了一个名为 api 的实例，并通过请求拦截器自动添加 CSRF token 到请求头中。后端使用 Django REST framework 编写了类视图 CSRFTokenView，其中包含了获取 CSRF token 和处理 POST 请求的逻辑。最后，在 urls.py 中设置了两个路由，分别映射到获取 CSRF token 和处理 POST 请求的视图函数。

posted @ 2024-07-07 23:23 CSMrDong 阅读(332) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

相关博文：

· Django 解决 CORS 跨域问题

· Django 集成 celery 与执行结果监控

· 【Python】关于Django如何处理前后端分离时的POST请求

· django前后端不分离项目中ajax与csrf问题，加入这个js文件（亲测有效）

· 前后端（drf）交互跨域问题解决

阅读排行：
· DeepSeek 开源周回顾「GitHub 热点速览」
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布：重大改进与新特性概览！
· AI与.NET技术实操系列（二）：开始使用ML.NET
· 单线程的Redis速度为什么快？

松柏

DRF 前后端分离项目如何解决CSRF 数据交互

★ 背景说明

★ 解决思路

公告

岁寒众木改，松柏心常在！

搜索

我的标签

随笔档案

阅读排行榜

推荐排行榜

	在Django REST framework (DRF) 前后端分离项目中，解决CSRF问题通常有以下几种方法：
	1. 禁用CSRF验证，但这会降低安全性。(不推荐)
	2. 使用csrftoken cookie
	3. 在前端每次 POST、PUT 或 DELETE 请求前先发起一个GET请求(GET请求不需要经过CSRF检查)获取CSRFToken并将响应中的CSRFToken添加到新的请求头中。(推荐)

	// 首先，获取CSRF token
	function getCookie(name) {
	let cookieValue = null;
	if (document.cookie && document.cookie !== '') {
	const cookies = document.cookie.split(';');
	for (let i = 0; i < cookies.length; i++) {
	const cookie = cookies[i].trim();
	// 假设CSRF cookie名为csrftoken
	if (cookie.substring(0, name.length + 1) === (name + '=')) {
	cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
	break;
	}
	}
	}
	return cookieValue;
	}
	const csrftoken = getCookie('csrftoken');

	// 然后，配置axios全局默认值
	axios.defaults.headers.common['X-CSRFToken'] = csrftoken;
	axios.defaults.headers.common['X-Requested-With'] = 'XMLHttpRequest';

	// 之后，所有通过axios发送的请求都会自动携带CSRF token

	// frontend.js

	import axios from 'axios';

	const api = axios.create({
	baseURL: '/api/',
	headers: {
	'Content-Type': 'application/json'
	}
	});

	api.interceptors.request.use(async config => {
	const { method } = config;
	if (method === 'post' \|\| method === 'put' \|\| method === 'delete') {
	const csrfToken = await getCSRFToken();
	config.headers['X-CSRF-Token'] = csrfToken;
	}
	return config;
	});

	async function getCSRFToken() {
	const response = await axios.get('/get-csrf-token/');
	return response.data.csrfToken;
	}

	async function postData(url = '', data = {}) {
	const response = await api.post(url, data);
	return response.data;
	}

	postData('data/', { key: 'value' })
	.then(data => {
	console.log(data);
	});

	# views.py
	from rest_framework.views import APIView
	from rest_framework.response import Response
	from rest_framework import status
	from django.middleware.csrf import get_token

	class CSRFTokenView(APIView):
	def get(self, request):
	csrf_token = get_token(request)
	return Response({'csrfToken': csrf_token})

	def post(self, request):
	# 处理 POST 请求的逻辑
	return Response({'message': 'Data received'}, status=status.HTTP_200_OK)

	# urls.py

	from django.urls import path
	from .views import CSRFTokenView

	urlpatterns = [
	path('get-csrf-token/', CSRFTokenView.as_view(), name='get_csrf_token'),
	path('api/data/', CSRFTokenView.as_view(), name='post_data'),
	]