csrf token作用

本文介绍CSRF攻击的防御策略,通过在HTTP请求中加入随机token并由服务器验证,防止恶意请求。详细解释了如何在表单和Django项目中实现这一机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

作用:

是防御CSRF攻击。

如何生成?

在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。

 

应用:

  • 表单中:添加隐藏字段csrf_token,来启用csrftoken验证
<form action="/add-name-v2" method="post">
        {% csrf_token %}
        <input type="text" name="name">
        <input type="submit" value="提交">
</form>

不能写到cookie中,因为浏览器在发出恶意csrf请求时,是自动带着你的cookie的。

 

  • Django项目中:

启用csrftoken验证:

from django.template.context_processors import csrf


def login(request):
    # omit the detail login logic
    return render(request, 'user/login.html', {'form': form, }, csrf(request))

在视图函数当中添加csrf_exempt装饰器,来取消csrftoken验证:

@csrf_exempt
def login(request):
  • ajax中的使用: 待补充

 

参考文档:

https://www.cnblogs.com/mengfangui/p/9075615.html

https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/#icomments

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值