我们专注攀枝花网站设计 攀枝花网站制作 攀枝花网站建设
成都网站建设公司服务热线:400-028-6601

网站建设知识

十年网站开发经验 + 多家企业客户 + 靠谱的建站团队

量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决

Django启用和禁用CSRF功能

1.Django CSRF的原理

CSRF(Cross Site Request Forgery)也就是跨站请求伪造,实现的原理是CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的;

创新互联建站于2013年开始,是专业互联网技术服务公司,拥有项目做网站、成都做网站网站策划,项目实施与项目整合能力。我们以让每一个梦想脱颖而出为使命,1280元龙胜做网站,已为上家服务,为龙胜各地企业和个人服务,联系电话:13518219792

2.CSRF认证

  • 在项目的settings文件中有一个配置项MIDDLEWARE,表示默认Django启用csrf认证;

'django.middleware.csrf.CsrfViewMiddleware'

  • 当页面为form表单提交时,一般都需要在form标签中加上 {% csrf_token %} ,如果第一次表单提交的时候带上了 csrf_token 服务器端就会认为这个是可信任的用户,所以如果第二次提交时form表单去掉 csrf_token ,但是浏览器请求时会带上之前表单第一次提交时中的 csrf_token ,服务器端默认信任这个 csrf_token

{# #} {% csrf_token %}
  • 如果在settings文件中将csrf的中间件注释,那么form表单提交,将不再需要csrf token认证;

3.CSRF局部禁用

  • 为了避免没有csrf token而产生的403的forbidden错误问题,通常使用 django.views.decorators.csrf.csrf_exempt 装饰器来修饰这个处理POST请求的View, 这种方式是CSRF局部禁用;

from django.views.generic import View
from django.utils.decorators import method_decorator
from django.views.decorators.csrf import csrf_exempt
class CSRFTestView(View):
    @method_decorator(csrf_exempt)
    def dispatch(self, request, *args, **kwargs):
        return super().dispatch(request, *args, **kwargs)
    def post(self, request):
        pass

  • 局部启用可以使用 csrf_protect ,需要先在settings文件注释 CsrfViewMiddleware

from django.views.generic import View
from django.utils.decorators import method_decorator
from django.views.decorators.csrf import csrf_protect
class CSRFTestView(View):
    @method_decorator(csrf_protect)
    def dispatch(self, request, *args, **kwargs):
        return super().dispatch(request, *args, **kwargs)
    def post(self, request):
        pass

  • 如果需要禁用Django CSRF功能项目都是启用全局的CSRF中间件,针对局部的View进行禁用;

4.Postman

Postman是一种网页调试与发送网页http请求的chrome插件,可以用来很方便的模拟get、post、put、patch、delete、copy等多种方式的请求来调试接口;
postman可用作macOS,Windows和Linux操作系统的本机应用程序。Windows系统下安装postman只需要下载安装文件,然后运行安装程序就可以了;

Django 启用和禁用CSRF功能

Postman的下载地址 : https://www.getpostman.com/downloads/

参考: https://www.9xkd.com/user/plan-view.html?id=1091380484


网站名称:Django启用和禁用CSRF功能
当前地址:http://shouzuofang.com/article/gisoci.html

其他资讯