Django CSRF处理

最新推荐文章于 2021-02-07 12:52:56 发布
最新推荐文章于 2021-02-07 12:52:56 发布
阅读量336 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: python Django 文章标签: django csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/GrandG7/article/details/78656742
本文详细介绍了Django框架中跨站请求伪造(CSRF)保护机制的实现方式,包括默认配置、表单保护方法、Ajax请求处理及推荐使用的render函数等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、setting中默认在MIDDLEWARE中设置了django.middleware.csrf.CsrfViewMiddleware,官方文档建议不要把它删了。


2、GET请求(安全的操作)不要做GET之外的操作(side effect free)。POST,PUT,DELETE方法(不安全的操作),按照以下方法来做。


3、<form>表单后一律加上{% csrf_token %},这样在网页加载时,会在此处生成一窜随机的序列,该序列同样存在于cookie中,提交表单的同时也会提交该序列,只有两者的序列相同时,才会执行后续操作,否则引起403 forbidden。

这里写图片描述
这里写图片描述

4、若是用Ajax在不刷新的情况下提交表单,则需要给XHttpRequest设置请求头,把csrf_token放到请求头里。获取token最简单的方法是使用jquery.cookie.js: $.cookie('csrftoken')。CSRF token的cookie默认就叫做csrftoken, 该名字可在setting中通过CSRF_COOKIE_NAME改变。设置请求头的方法是:

$.ajax({header: {"X-CSRFtoken": $.cookie("csrftoken")})

5、Ajax不设置请求头会导致403 forbidden。注意jquery.cookie.js的引入要在jquery.js之后。


6、尽量用render而不是render_to_response,官方文档解释:render() is the same as a call to render_to_response() with a context_instance argument that forces the use of a RequestContext.
Django 4.x CSRF 站点保护示例和使用配置方法
Mr数据杨
11-04 3万+
在现代Web开发中,安全性是不可忽视的重点之一。跨站请求伪造(CSRF)是一种常见的攻击手段,可能会给Web应用带来严重的安全风险。为了应对这种攻击,Django提供了一套完整的CSRF防护机制,帮助开发者在构建Web应用时,确保请求的合法性和安全性。
DjangoCsrf的使用
最新发布
xyh2004的博客
05-26 866
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本,但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比更具危险性。
如何解决DjangoCSRF问题
谭小谭的专栏
11-28 1823
  CSRF是什么? CSRF(Cross Site Request Forgery,跨站伪造请求)。举个例子来简单介绍下。有A、B两个web网站,其中A网站存在CSRF漏洞,B网站是攻击者特意设计成一个具有CSRF攻击性的网站,C为一普通用户,当用户C在浏览器中登录A网站后,A网站会将用户的登录信息如cookie返回并保存在浏览器,如果用户C在浏览器中再访问B网站,B网站会诱导用户C执行一个...
Django解决CSRF请求处理
zsrwan的博客
06-02 940
一、在提交的前端页面中写入js代码片段 // get cookie using jQuery function getCookie(name) { let cookieValue = null; if (document.cookie && document.cookie !== '') { let cookies = document.cook...
简析django源码中对csrf处理
nibuyaoshiwang的博客
01-13 240
csrf 跨站点请求伪造(Cross—Site Request Forgery),具体过程如下: 用户登录后访问某网站A,将cookies存在浏览器。 在未退出的情况下访问另一个网站B,这时候携带的信息就会全部发给B。 网站B拿着你的信息又去访问A,这样就造成了跨站请求伪造。 解决方案 检验http headers中的Referer,它的内容就是这次http请求的网站地址。对于服务端来说,在请求头部信息里我们可以过滤出有害请求地址的黑名单。 添加随机参数token,来每一次请求到来后,对比token值
Django CSRF
光明小学王小雨的博客
12-16 2026
一、CSRF攻击攻击原理及过程 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式 1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B...
Django中使用Ajax及避开CSRF 验证的方式详解
qq_36581961的博客
02-07 527
文章目录向服务器发送GET请求向服务器发送POST请求通过 csrf_token 认证视图层或者urls添加装饰器 ajax(Asynchronous Javascript And Xml)异步javascript和XML。本文实例讲述了django框架中ajax的使用及避开CSRF 验证的方式。 ajax的优点 使用javascript技术向服务器发送异步请求 ajax无须刷新整个页面; 由于ajax响应的是局部页面,因此性能要高 向服务器发送GET请求 views.py from django.ht
django-csrf使用和禁用方式
12-20
### AJAX提交与CSRF处理 **5. AJAX提交数据时携带CSRF令牌** 在使用AJAX进行POST请求时,需要确保将CSRF令牌包含在请求中。有两种方法: a) 将令牌放入`data`对象: ```javascript $.ajax({ url: '/csrf1.html', ...
vue-resource post数据时碰到Django csrf问题的解决
10-15
在使用Vue.js与Django进行前后端分离开发时,正确处理CSRF令牌是确保应用安全的关键步骤。开发者应当了解DjangoCSRF保护机制,并掌握在使用vue-resource或axios等库发送POST请求时如何正确携带和传递CSRF令牌。...
django-react-csrftoken:一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单
02-03
一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单。 安装 npm install --save django-react-csrftoken 用法 import React from 'react' ; import DjangoCSRFToken from 'django-react-csrftoken' class...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
主要介绍了详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Django 024】中间件Middleware(三):Django自带csrf中间件源码分析以及跳过csrf报错的四种方法
T型人小付的博客
04-17 1244
Django作为一个重量级框架,其已经事先为我们内置了很多安全模块,CSRF中间件就是其中之一。那么究竟什么是CSRF,其中间件工作原理是怎样的,我们又应该如何去使用CSRF呢。这一篇文章我们一起来深入学习一下。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录什么是CSRFCSRF的防范策略Django中的...
DjangoCSRF防御全过程解析以及中间件作用机制
Deft_MKJing的博客
05-21 2716
前言 XSS和CSRF攻击的基础原理这里就不介绍了,之前写了一篇文章单独介绍的很详细了,传送门,这里我们直接以Django为分析对象,分析中间件csrf生成原理以及防范Token如何运作的。 CSRF中间件 官方文档介绍的也是表面,本文通过源码层面直接分析流程 官方文档针对CSRF的介绍以及参数配置 传送门 Settings文件 Setting.py中有茫茫多的配置选项。传送门 Django全流程...
Django中间件解析
bocai_xiaodaidai的博客
03-20 1454
一、什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。 每个中间件组件都负责做一些特定的功能。但是由于其影响的是全局,所以需要谨慎使用,使用不当会影响性能。 说的直白一点中间件是帮助我们在视图函数执行之前和执行之后都可以做一些额外的操作,它本质上就是一个自定义类,类中定义了几...
django免除csrf校验
热门推荐
qq_42486675的博客
07-15 1万+
django默认启动csrf校验,当用户发起post请求时,必须携带csrf_token参数。如果不想使用csrf校验时,可以使用以下方式免除校验。以下方式都是在局部中使用,如果想全局禁用时,需要在settings文件中配置,这种方式不推荐使用。
Django —— csrf 验证问题
何惜戈
02-07 2734
关于 csrf 的基本了解 百度百科:CSRF(Cross-site request forgery)跨站请求伪造,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。通过伪装来自受信任用户的请求来利用受信任的网站。 简单来说就是攻击者盗用你的身份,以你的名义来发送恶意请求。比如说用户通过账号密码访问了网站A,A网站将一些cookie信息保存在浏览器中实现用户状态行为跟踪。这时用户...
我理解的djangoCSRF防御!
wjy397的专栏
10-15 562
我首先将django的settings的    'django.middleware.csrf.CsrfViewMiddleware',中间件关闭djangoCSRF防御系统! 那么跨域下在chrome中POST请求一个地址:'http://127.0.0.1:8000/loginSystem',返回结果是成功的! 开启djangoCSRF防御中间件,再次跨域POST,收到的是403错误,
ajax获取djangocsrf_token
weixin_30337251的博客
04-17 552
''' 方法一: data: { 'teamid': teamid, csrfmiddlewaretoken: '{{ csrf_token }}' //data: {name: 'john', csrfmiddlewaretoken: '{{ csrf_token }}'}, } 方法二: //获取csrftoken function getCookie(name) { var cookie...
Django关于禁用csrf和使用csrf操作
qq_32506555的博客
04-06 1602
本文和大家分享的是django中关于禁用csrf和使用csrf操作相关内容,一起来看看吧,希望对大家学习django有所帮助。  1. 基本使用  form表单中添加  {% csrf_token %}  2. 全站禁用  # 'django.middleware.csrf.CsrfViewMiddleware',  3. 局部禁用  'django.middleware.csrf.CsrfVie...
Django CSRF保护机制深度解析
Django内置了一个名为`CsrfViewMiddleware`的中间件,它自动处理CSRF保护。在Django的`settings.py`配置文件中,你需要将`CsrfViewMiddleware`添加到`MIDDLEWARE`列表中,如上述代码所示。一旦启用,这个中间件会在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值