1、你登录建行官网后 你的浏览器就保存了建行网站的cokie,(如果不关闭这个页面cookie一直生效,就可以发送任何请求)专门在cappron试了一下;
2、与此同时你 点了其他恶意页面(CSRF攻击的条件)
3、这个页面携带着你的cokie 伪造你 向到招商银行提交 一个转账form表单你就傻逼了!
服务端端开启 csrf认证之后,
客户端发送get请求 要form表单时,在里面加上{% csrf_token %}一个随机字符串
客户端收到这个 带随机字符串的 form表单之后
客户端在向服务端 发post请求(不仅要有cokie还检查这个from表单是不是携带{% csrf_token %})
(不要以为有了cokie就可以随意发送 post请求了!)
{% csrf_token %}{
<QueryDict: {'csrfmiddlewaretoken': ['Vk4rQ7L3d2stscFgHq7lKWTWSEcZrIRAAw3QJv6G2FLopBVJb7sONVbiP9aqDjgj'], 'user': ['我'], 'pwd': ['q'], 'gender': ['1'], 'login': ['yes']}>
在项目的setings文件把这个 中间件注释掉
from django.views.decorators.csrf import csrf_exempt @csrf_exempt(免除) def login(request): if request.method=='GET': return render(request,'login.html') else: print(request.POST) return HttpResponse('OK')
from django.views.decorators.csrf import csrf_exempt,csrf_protect @csrf_protect(保护) def login(request): if request.method=='GET': return render(request,'login.html') else: print(request.POST) return HttpResponse('OK')
要想在CBC局部使用或者禁用CRF验证就必须 导入method_decorator(方法装饰)
from django.utils.decorators import method_decorator @method_decorator(csrf_exempt,name='dispatch') class login(View): def get(self,request): return render(request,'login.html') def post(self,request): return HttpResponse("ok")
{% csrf_token %}
如果服务端开启了CSRF验证,客户端就发送post请求就必须携带 服务端给的CSRF
那问题来了如果发 ajanx请求呢?
答案:客户端发送 get请求时,服务端会把CSRF tocken放在form表单中(隐藏的input标签)发送给客户端
<script src="/static/zhanggen.js"></script> </head> <body> <h1>欢迎来到百合网</h1> <form> {# 服务端开启csrf认证#} <p>用户:<input type="text" name="user" ></p> <p>密码:<input type="password" name="pwd"></p> <p> 性别:男:<input type="radio" name="gender" value="1" b="1"> 女:<input type="radio" name="gender" value="2"> </p> <p><input type="checkbox" name="login" value="yes" zhanggen="1">一周免登录</p> <input type="button" value="提交" onclick="a()"> </form> </body> <script> function a(){ tocken=$('[name="csrfmiddlewaretoken"]').val() $.ajax({ url:'/login/', type:'POST', data:{'csrfmiddlewaretoken':tocken}, 或者这样data:{'csrfmiddlewaretoken':'{{csrf_token}}'},最后福建小伙向淫王一问 }) } </script> </html>
从cookie中获取csrftokenf需要借助 jquery.cookie.js插件
导入<script src="/static/jquery.cookie.js"></script>
"X-CSRFToken", $.cookie('csrftoken')
如果是在cookie里面 获取的 CSRF tocken(记号)就不能放在 ajax的请求体里面了
放在请求头里,而且必须以这个格式(headers:{'X-CSRFToken':tocken},) 这是Django规定
注意cookie里的 CSRF tocken和 from表单里的不一样
$.ajax({ type: 'POST', async: false, cache: false, url: '{% url "instance_add" %}', headers:{"X-CSRFToken":$.cookie('csrftoken')}, contentType: "application/json; charset=utf-8", dataType: "json", traditional:true, data:JSON.stringify({ "data_mode_type": $data_mode_type, 'database_type': $database_type, 'host': $host, 'port': $port, 'instance_nikename': $instance_nikename, 'db_business': $db_business, 'DBA': $DBA, 'responsible_person': $responsible_person }), success: function (data) { alert(1) } }); })
from django.shortcuts import render,HttpResponse,redirect from DB_auto.form_validate.add_dbinfo import dbinfo_create import json def instance_add(request): if request.method=='POST': json_data=json.loads(request.body.decode('utf-8')) obj=dbinfo_create(json_data) if obj.is_valid(): print(obj.cleaned_data) else: print(obj.errors) return render(request,'add_dbinfo.html')