django的csrf中间件

Django的csrf中间件

CSRF：跨站请求伪造Cross Site Request Forgery

CSRF的攻击流程

用户a 访问可信站点1做业务处理，此时浏览器会保存该网站的cookie，当用户a 访问不可信站点2时，如果站点2有指向站点1的链接时候，那么攻击就用可能发生

Eg:

1、包含站点1的链接，点击跳转

2、img 的src属性值是站点1的链接

3、Js加载，js里有跳转的动作

Django的解决方法

Django预防CSRF攻击的方法是在用户提交的表单中加入一个csrftoken的隐含值，这个值和服务器中保存的csrftoken的值相同

前后端的使用

后端

全局使用（禁用）

局部使用或禁用

from django.views.decorators.csrf import csrf_exempt（不使用CSRF验证）, csrf_protect（使用CSRF校验）

前端

Form表单

Ajax 方式

<script src="//cdn.bootcss.com/jquery/3.1.1/jquery.min.js"></script>

<script src="//cdn.bootcss.com/jquery-cookie/1.4.1/jquery.cookie.js"></script>

面试回答：

1 解释什么是CSRF

跨站请求伪造Cross Site Request Forgery

2什么是跨站请求伪造

用户a 访问可信站点1做业务处理，此时浏览器会保存该网站的cookie，当用户a 访问不可信站点2时，如果站点2有指向站点1的链接时候，那么攻击就用可能发生

3 Django是如何实现防止攻击

1 当浏览器和Django服务器交互的时候 Django服务器会生成一个随机的token（字符串） 然后把这个字符串保存到浏览器的从okie里，同时在页面添加隐藏的input标签 值就是csrf_token
2 以后再和服务器做post请求的时候 前端页面要带上csrf_token
3 服务器就会去校验前端传过来的csrf_token和服务器保存是不是一致 
    if 不一致：
        return 403 禁止访问
    else:
        一致的时候 正常相应