Django进阶(CSRF、Ajax)

1、跨站请求伪造:CSRF

django为用户实现:防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。
全局:
  中间件 django.middleware.csrf.CsrfViewMiddleware
局部:
    @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
    @csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件

注:from django.views.decorators.csrf import csrf_exempt,csrf_protect

html中设置Token:
  {% csrf_token %}

view视图返回方法:

 

from django.template.context import RequestContext

return render_to_response('Account/Login.html',data,context_instance=RequestContext(request) 
或者
return render(request, 'xxx.html', data)
#render()方法是render_to_response的一个崭新的快捷方式,render()方法会自动使用RequestContext=RequestContext(request)

 

2、Ajax

AJAX = 异步JavaScript 和 XML(Asynchronous JavaScript and XML)
简短地说,在不重载整个网页的情况下,AJAX 通过后台加载数据,并在网页上进行显示。

 示例:

view.py

from django.views.decorators.csrf import csrf_protect
import json

@csrf_protect
def ajax_data(request):
    if request.method == 'POST':
        ret = {'status':True,'msg':"",'data':[11,22,33,44]}
        try:
            print request.POST
        except Exception,e:
            ret['status'] = False
            ret['msg'] = str(e)
        return HttpResponse(json.dumps(ret))  #默认只能发送字符串,用json把字典转换成字符穿
    else:
        return render(request, 'ajax_app/aaa.html')
        #render()方法是render_to_response的一个崭新的快捷方式,前者会自动使用RequestContext=RequestContext(request)

 aaa.html

    {% csrf_token %}
    <input id="ajax_id" type="text"/>
    <input type="button" value="点击执行ajax请求" onclick="myajax();"/>  {#点击时就调用myajax()函数 #}

    <script src="/static/jquery-3.3.1.min.js"></script>  {# #配置js文件位置 #}
    <script src="/static/jquery.cookie.js"></script>
    <script type="text/javascript">
        var csrftokens = $.cookie('csrftoken'); //获取当前csrftoken值
        function csrfSafeMethod(method) {
            // 根据请求方法判断加不加 CSRF protection
            return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
        }
        $.ajaxSetup({
            // 发送ajax之前,执行以下这个函数
            beforeSend: function(xhr, settings) { // xhr=XmlHttpRequest 对象,所有ajax请求底层操作都是使用的它来做的
                if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
                    xhr.setRequestHeader("X-CSRFToken", csrftokens);
                }
            }
        });

        function myajax(){  // 创建点击事件函数
            var temp = $('#ajax_id').val(); //获取input标签id=ajax_id的值,用户输入
            var user_list = [
            {'username':'yangmv','age':18},
            {'username':'wj','age':28}];

            $.ajax({
                url:'/ajax_app/test',
                type:'POST',
                tradition:true,  {#对数据原生处理,不做加工#}
                data:{data0:temp,data1:JSON.stringify(user_list)}, {#类似以json.dumps转换为字符串的方式#}
                success:function (arg) {   //arg为返回的数据
                    var obj = jQuery.parseJSON(arg); {#把返回的字符串数据用json.load成字典#}
                    if(obj.status){   //status字段为view中定义好的字段,为True
                        alert('okkkkk');
                    }else{
                        alert('obj.msg');
                }
                }
            });

        }
    </script>

 在setting.py文件中设置static文件夹路径:

STATIC_URL = '/static/'
STATICFILES_DIRS = (os.path.join(BASE_DIR, 'static'),)

CSRF  with Ajax

 

{{ csrf_token }}  # 在html这样写,前端就会显示它
{% csrf_token %}  # 在html这样写,不会显示,但是会生成一个隐藏的input框,type=hidden

 

 如果不是按照如上面使用jquery.cookie.js那样的方法,没有使用csrfSafeMethod、$.ajaxSetup;那就要在data中加入:csrfmiddlewaretoken:'{{ csrf_token }}'

function myajax(){
	var temp = $('#ajax_id').val();
	$.ajax({
		url:'/ajax_app/test',
		type:'POST',
		data:{data1:temp,csrfmiddlewaretoken:'{{ csrf_token  }}'},
		success:function (arg) {
			var obj = jQuery.parseJSON(arg);
			$('#ajax_id').val(obj.msg);
		},
		error:function () {
			alert("failed");
		}
	});

}

 否则ajax的post请求会报错,forbidden
Forbidden (CSRF token missing or incorrect.): /ajax_app/test

 

posted @ 2018-04-22 17:41  逆流而上的鱼丶  阅读(2475)  评论(0编辑  收藏  举报