React + Axios + Django前后端分离CSRF问题解决方案

最新推荐文章于 2025-06-12 14:25:18 发布
最新推荐文章于 2025-06-12 14:25:18 发布
阅读量5.5k 收藏 5
点赞数
CC 4.0 BY-SA版权
分类专栏: 前端开发 文章标签: React Axios Django CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sunhaobo1996/article/details/80285917
本文介绍了在使用React、Axios和Django进行前后端分离开发时遇到的CSRF 403 Forbidden问题的解决方案。通过Django的@ensure_csrf_cookie修饰符发送csrftoken,并在前端使用universal-cookie库获取cookies,将csrftoken放入请求头中,解决了跨站请求伪造的问题。详细代码和步骤可在GitHub查看。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

想直接看代码的移步GitHub:

https://github.com/769484623/TestWebServer

CSRF 403 Forbidden这个问题从我刚开始做这个前端登录界面的时候就遇到了,但为了不耽误学习进度关闭了Django的CSRF验证选项。
现在快要做完了,就抽出了半天时间来解决了这个问题。
并不难其实,就是网上的资料有点不靠谱= =

Django的配置

额……虽然说是配置吧,但其实没什么说的……重点可能就是 @ensure_csrf_cookie 这个修饰符吧(一看到@我就想起来春招面试面试官问我修饰符的作用)。放个代码帮助理解下。

#url.py
urlpatterns = [
    path('Auth/', include('LoginAuth.urls')),
    path('admin/', admin.site.urls),
]
#view.py
@ensure_csrf_cookie
def login_authentication(request)<
最低0.47元/天 解锁文章

200万优质内容无限畅学
Django 4.x CSRF 站点保护示例和使用配置方法
Mr数据杨
11-04 3万+
在现代Web开发中,安全性是不可忽视的重点之一。跨站请求伪造(CSRF)是一种常见的攻击手段,可能会给Web应用带来严重的安全风险。为了应对这种攻击,Django提供了一套完整的CSRF防护机制,帮助开发者在构建Web应用时,确保请求的合法性和安全性。
【毕业设计】前后端分离——解决cookies跨域
user_from_future的博客
11-25 1773
前后端分离——解决cookies跨域
django-react-csrftoken:一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单
02-03
DjangoCSRFToken 一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单。 安装 npm install --save django-react-csrftoken 用法 import React from 'react' ; import DjangoCSRFToken from 'django-react-csrftoken' class MyLoginForm extends React . Component { render ( ) { return ( < div xss=removed>
axios通过djangocsrf验证
weixin_30709929的博客
07-04 362
django会在浏览器的cookie里面保存一项csrftoken=GvzB3ilhlgadishmascacsilreclherlkjhaklsdv3qx4M96XRG88omScDPQaKoMxJ; 这个是从django生成的,django会检查每个http请求的headers 里面的 X-CSRFToken项的值是否和cookie里面保存的值相同,如果不相同或者缺失,就拒绝这个请求,如...
react实现axios 的简单封装
最新发布
u013141712的专栏
06-12 434
类似vue的封装模式:创建https.js。
关于React+SpringMVC+axios前后端分离实现文件下载
wangli61289的专栏
08-09 1269
最近React项目中用到了导出功能,网上搜索一番后决定采用Blob方式(推荐)来实现,现分享下具体实现步骤。 我主要采用后端生成excel文件流返回给前端来实现的,具体代码如下: @RequestMapping(value = "/download") public void export(HttpServletRequest request, ...
axiosDjango中如何获取csrf成功发送请求
轻编程的博客
09-01 397
<script> var regex = /.*csrftoken=([^;.]*).*$/; // 用于从cookie中匹配 csrftoken值 new Vue({ el: '#app', methods: { request(config){ const instance = axios.create({ ...
django ajax前台验证,Django AJAX方式提交数据解决csrf验证问题
weixin_36413157的博客
08-05 211
就是设置axios的headersaxios.defaults.headers.common["X-CSRFToken"] = "{{ csrf_token }}";axios.defaults.baseURL = "http://xx.xx.xx.xx";axios.defaults.headers.common["X-CSRFToken"] = "{{ csrf_token }}";Vue.p...
React Axios + Django 跨域解决方案详解
ox0080的博客
02-27 1281
react + django 跨域问题解决
DjangoReact 前后端分离开发时遇到CORS跨域问题导致的Session无法传递的问题
Ken的博客
08-04 2337
网上关于如何解决Django的跨域问题的文章有很多; 一般来说,参考django解决跨域请求的问题 - AFei0018-博客 - 优快云博客这篇文章,装一下django-cors-headers,settings.py里设置一下中间件即可解决。 但当和前端结合在一起工作时,解决跨域还需要前端的协助。以使用React为例,如果是用ajax发请求,可以参考这篇Django配置Ajax跨域调用/设置...
Django(七)Ajax请求中csrf验证
youand_me的博客
12-29 4393
前言 在web应用中都比较熟悉ajax请求,当然在Django中也可以通过ajax请求数据。有时候我们需要在不刷新的情况载入一些内容,如何用 Django 来实现 不刷新网页的情况下加载一些内容,ajax请求就能发挥作用了。 Ajax请求 get方法 表单 当我们使用form表单时,在第一层demo下的templates中新建一个add.html文件,要使...
DjangoREST框架React快速入门
08-10
Django REST 框架/React快速入门
Django + React + axios 5) 实现前后端数据交互
Northeast_Husky的博客
12-17 1605
现在我们需要用到一个javascript lib: axios. 进入到frontend这个文件夹,安装 axios。 npm install axios@0.21.1 然后打开 package.json 文件,加入proxy这个属性。具体URL取决于你开的本地server端口。 "proxy": "http://localhost:8080", 这个属性可以省略很多重复的指定URL,现在 axios.get("http://localhost:8080/api/todos/") 可以简写成.
axios异步请求如何设置通过djangocsrf验证
踩坑小王子
02-01 8306
问题描述:最近在使用vue全家桶开发前端,后端框架是django,我在使用axios做前端异步请求时,除了get之外的请求方法django都会返回403状态码,表单总是提交不上去。分析原因:通过chrome浏览器的network中,了解到是csrf的认证没有通过,所以被拒绝提交。我之前对csrf攻击和防范的原理不太了解,在axios的异步请求配置里也没有做特别的处理,所以请求被django拒绝了。...
react中防csrf攻击
All things will be fine__
03-28 1692
因为数据分离,也没有将页面写成themeleaf的形式,所以后台通过传统方式传的csrf信息接收不到。 于是后台将相关信息写入cookie,前端通过document.cookie的方式去拿到对应的信息,利用split分解拿到对应的csrf,并将其用window.xx的方式设置为全局变量,在请求的fetch.js的组件中,将post请求的链接上挂上_csrf=xxxx的信息即可。 ps:csrf...
djangocsrf中间件
Poor - Because you have no ambition
08-14 360
Djangocsrf中间件 CSRF:跨站请求伪造Cross Site Request Forgery CSRF的攻击流程 用户a 访问可信站点1做业务处理,此时浏览器会保存该网站的cookie,当用户a 访问不可信站点2时,如果站点2有指向站点1的链接时候,那么攻击就用可能发生 Eg: 1、包含站点1的链接,点击跳转 2、img 的src属性值是站点1的链接 3、Js加载,js...
前端安全防护实战:XSS、CSRF防御与同源策略详解(react 案例)
qq_35374791的博客
05-03 1841
前端安全防护实战中,主要涉及三个方面:XSS (Cross-Site Scripting) 攻击的防御、CSRF (Cross-Site Request Forgery) 攻击的防御,以及浏览器的同源策略
web安全之CSRF
letterTiger的博客
09-04 359
CSRF是什么 CSRF(Cross Site Request Forgery)跨站请求伪造,是一种攻击方式。通过名字可以看出这个攻击通常是在其他网站发出的,并不是在目标网站。 该攻击会在用户不知情的情况下盗用用户的登录信息请求目标网站完成对目标网站数据库信息的修改,所以需要防范CSRF的接口只需要是修改数据的接口,对于获取信息的接口则没有这个必要。 CSRF和XSS不一样,CSRF只可以盗...
django 后端 前后端分离 react
jonathan_joestar的博客
08-28 877
【代码】django 后端 前后端分离 react
前后端分离和不分离项目区别
03-26
<think>好的,用户现在想了解前后端分离和不分离项目的区别。之前他们问过零宽断言,可能是在学习编程相关的内容。现在这个问题也是技术性的,应该和Web开发有关。需要先明确用户的需求,他们可能是刚开始学习Web开发,或者在做项目时遇到了架构选择的问题,想了解两者的优缺点。 首先,用户可能不太清楚前后端分离是什么,或者听过这个术语但不太明白具体区别。需要从基础讲起,对比两种架构的不同点。可能用户需要知道在什么情况下选择哪种架构,所以得涵盖优缺点和适用场景。 接下来,要确保回答结构清晰,分点说明。比如分为核心概念、区别对比、优缺点、适用场景等部分。还要注意使用用户之前接受的格式,比如分步骤、示例和注意事项。 需要检查是否有技术术语需要进一步解释,比如MVC、API、SSR等,可能需要用简单的语言说明。同时,要举一些例子帮助理解,比如传统项目的JSP,前后端分离React+Spring Boot组合。 还要考虑用户可能的深层需求,比如性能、开发效率、维护成本等,这些都是在选择架构时的重要因素。可能需要强调前后端分离在团队协作和扩展性上的优势,而传统项目在简单场景下的快速开发。 另外,注意提到的注意事项,比如SEO问题、部署复杂度,这些都是实际开发中会遇到的问题,用户可能想知道如何解决或权衡。比如SSR或静态站点生成可以解决SEO问题,但会增加复杂度。 最后,总结部分要简明扼要,帮助用户快速做决策。需要确认覆盖了用户可能关心的所有方面,并且语言通俗易懂,避免过于技术化。</think>以下是前后端分离与传统不分离项目的对比分析,按逻辑分层说明: --- ### 一、核心概念 #### 1. **不分离项目(传统模式)** - **描述**:前端代码(HTML/CSS/JS)与后端代码(Java/PHP等)混合开发,共用同一项目结构 - **典型技术**:JSP、ASP.NET WebForms、PHP内嵌HTML - **流程**:服务器直接生成完整HTML页面返回给浏览器 #### 2. **前后端分离项目** - **描述**:前端(浏览器/App)与后端(服务器)完全独立,通过API(如RESTful)通信 - **典型技术**:React/Vue(前端) + Spring Boot/Django(后端) - **流程**:前端请求API获取数据(JSON/XML),动态渲染页面 --- ### 二、核心区别对比 | **维度** | **不分离项目** | **前后端分离项目** | |-------------------|----------------------------------|--------------------------------------| | **代码结构** | 前后端代码混编 | 前端/后端为独立项目 | | **数据传输** | 服务器返回HTML | 服务器返回JSON/XML,前端解析渲染 | | **开发协作** | 需前后端开发者紧密协调 | 通过接口文档并行开发 | | **页面渲染** | 服务端渲染(SSR) | 客户端渲染(CSR)或SSR | | **部署方式** | 整体部署 | 前端部署静态服务器,后端部署应用服务器 | | **SEO支持** | 天然支持(完整HTML直达浏览器) | 需额外处理(如SSR或预渲染) | --- ### 三、优缺点分析 #### 1. **不分离项目** - ✅ **优点**: - 开发简单,适合小型项目 - 首屏加载快(服务端渲染完成) - 天然支持SEO - ❌ **缺点**: - 前后端耦合度高,维护困难 - 无法高效支持多终端(如Web/App共用逻辑) - 前端交互复杂度受限 #### 2. **前后端分离项目** - ✅ **优点**: - 前后端解耦,独立开发/部署 - 支持多终端复用API(Web/App/小程序) - 前端可自由选型(React/Vue等) - 更易实现复杂交互(如SPA单页应用) - ❌ **缺点**: - 需额外处理SEO问题(需SSR或静态生成) - 初期架构复杂度较高 - 可能增加网络请求次数(需优化API设计) --- ### 四、典型场景选择 #### 1. **适合传统不分离模式** - 简单内容型网站(如企业官网) - 需要快速开发验证的临时项目 - 对SEO要求极高且无多终端需求 #### 2. **必须用前后端分离模式** - 多终端应用(Web+App+小程序) - 复杂交互的Web应用(如在线编辑器) - 大型长期维护项目(需团队分工协作) --- ### 五、技术栈示例 #### 1. 传统项目 ```plaintext Java(Spring MVC) + JSP + MySQL ``` #### 2. 分离项目 ```plaintext 前端:React + Axios + Webpack 后端:Spring Boot + MyBatis 通信:RESTful API(JSON格式) ``` --- ### 六、注意事项 1. **接口规范**:分离项目需严格定义API文档(如Swagger) 2. **跨域问题**:开发阶段需配置CORS,生产环境用Nginx代理 3. **性能优化**: - 前端:代码分包、CDN缓存静态资源 - 后端:API响应压缩、数据库索引优化 4. **安全风险**:分离架构需防范XSS/CSRF攻击,加强JWT令牌管理 --- ### 总结 前后端分离是现代化开发的趋势,尤其适合复杂项目和多终端场景,但需权衡开发成本和维护难度。传统模式在简单需求中仍具实用价值,选择时需结合团队能力与项目目标。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值