django-csrf跨站请求伪造
django-csrf跨站请求伪造
一、什么是跨站请求伪造
跨站请求伪造。英文简称:csrf,英文全称:cross-site request forgery
举个栗子:钓鱼网站
有一个和某银行一摸一样的虚假网站,用户在该页面完成转账功能,转账的请求是朝着银行的真实网站的服务端提交,这两个网站提交数据的唯一不同在于收款账户人不同,在虚假网站书写收款人的form表单,此页面的input输入框没有name属性,虚假网站开发人员提前写好一个具有默认的并且是隐藏的具有name属性的input,所以向银行真实服务端提交数据的时候,默认就是将你的金额转给了默认写好的账户,这种虚假网站就叫做钓鱼网站,这种方式叫做跨站请求伪造。
那么如何开启csrf校验,防止此类事情出现呢?
二、django如何开启csrf校验
csrf是django的默认中间件,默认是开启的,对前端请求进行校验;将其注释即关闭校验。
但是在开启情况下,前端向后台提交数据会被阻拦报出 403 forbidden 错误。那么如何通过这种校验呢?
PS:关闭csrf中间件即可通过校验,但是出于数据安全考虑,不建议此类操作,可做简单测试使用,不推荐使用于生产环境。下文不对此方法进行叙述。
三、如何正确通过csrf校验
1、前端的form表单如何通过csrf校验
在form表单内书写一个{% csrf_token %}即可,例:
这样的话,后端会返回给前端一串随机字符串,前端向后端再次发送数据时,后端的csrf中间件会对这一串字符串进行校验,校验成功正确即返回数据,校验不成功即 403 forbidden 报错。
2、ajax如何通过csrf校验
第一种:手动获取
$.ajax({ url: '', type: 'post', // 第一种方式:手动获取 data:{'username':'tom', 'csrfmiddlewaretoken':$('input[name="csrfmiddlewaretoken"]').val()} success:function (data) { alert(data) } })
第二种:利用模板语法
$.ajax({ url: '', type: 'post', // 第二种方式:使用模板语法 data:{'username':'tom', 'csrfmiddlewaretoken':'{{ csrf_token }}'} success:function (data) { alert(data) } })
第三种:通用方式,引入外部js文件
① cv大法,创建myset.js
function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !== '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = jQuery.trim(cookies[i]); // Does this cookie string begin with the name we want? if (cookie.substring(0, name.length + 1) === (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } var csrftoken = getCookie('csrftoken'); function csrfSafeMethod(method) { // these HTTP methods do not require CSRF protection return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method)); } $.ajaxSetup({ beforeSend: function (xhr, settings) { if (!csrfSafeMethod(settings.type) && !this.crossDomain) { xhr.setRequestHeader("X-CSRFToken", csrftoken); } } });
② 在html中引入文件
// 加载静态文件 {% load static %} // 引入自定义myset.js文件 <script src="{% static 'myset.js' %}"></script>
③ ajax按照语法正常写即可
$.ajax({ url: '', type: 'post', // 第三种方式:通用方式,引入外部js文件 data:{'username':'tom'} success:function (data) { alert(data) } })
四、csrf相关装饰器
1、当网站整体都使用csrf校验的时候,我想让某几个视图函数不使用csrf校验(配置文件中中间件配置csrf没有被注释,默认全部校验)
(1)FBV:基于函数的视图
from django.views.decorators.csrf import csrf_exempt, csrf_protect @csrf_exempt # 整体都校验,该视图函数不校验csrf def login(request): return render(request, 'login.html')
(2)CBV:基于类的视图
csrf_exempt的两种方式:
# csrf_exempt的两种方式: from django.views import View from django.views.decorators.csrf import csrf_exempt, csrf_protect from django.utils.decorators import method_decorator # @method_decorator(csrf_protect, name='dispatch') # 第二种方式:一定要指定dispatch方法,所以第二种方法==第一种方法 class MyHome(View): @method_decorator(csrf_exempt) # 第一种方式:给类中所有的方法都加上装饰器 def dispatch(self, request, *args, **kwargs): return super().dispatch(request, *args, **kwargs) def get(self, request): return render(request, 'get_demo.html') def post(self, request): return HttpResponse('请求完成')
2、当网站整体都不使用csrf校验的时候,我想让某几个视图函数使用csrf校验(配置文件中中间件配置csrf被注释,默认全部不校验)
(1)FBV:基于函数的视图
from django.views.decorators.csrf import csrf_exempt, csrf_protect @csrf_protect # 整体都不校验,该视图函数校验csrf def login(request): return render(request, 'login.html')
(2)CBV:基于类的视图
csrf_protect的三种方式:
# csrf_protect的三种方式: from django.views import View from django.views.decorators.csrf import csrf_exempt, csrf_protect from django.utils.decorators import method_decorator @method_decorator(csrf_protect, name='post') # 第二种方式:指名道姓的给某个方法装饰 class MyHome(View): # @method_decorator(csrf_protect) # 第三种方式:给类中所有的方法都加上装饰器 def dispatch(self, request, *args, **kwargs): return super().dispatch(request, *args, **kwargs) def get(self, request): return render(request, 'get_demo.html') # @method_decorator(csrf_protect) # 第一种方式:直接在方法上面装饰 def post(self, request):
3、总结
① 给CBV加装饰器,推荐使用method_decorator模块
② 自定义的装饰器和csrf_protect的用法一致
③ 唯独scrf_exempt是一个特例,只能给dispatch方法装饰
