AJAX 在Django 设置csrf_token

最新推荐文章于 2024-05-26 08:59:54 发布
最新推荐文章于 2024-05-26 08:59:54 发布
阅读量233 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: python javascript ViewUI
原文链接:http://www.cnblogs.com/yangwei666/p/9238548.html
本文介绍了三种在Ajax请求中发送CSRF Token的方法:通过隐藏的input标签获取并放入data中;从Cookie中读取并放置在请求头;以及通过自定义函数获取并设置请求头。每种方法都附带了具体的实现代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

方式一

通过获取隐藏的input标签中的csrfmiddlewaretoken值,放置在data中发送

$.ajax({
  url: "/cookie_ajax/",
  type: "POST",
  data: {
    "username": "Q1mi",
    "password": 123456,
    "csrfmiddlewaretoken": $("[name = 'csrfmiddlewaretoken']").val()  // 使用JQuery取出csrfmiddlewaretoken的值,拼接到data中
  },
  success: function (data) {
    console.log(data);
  }
})
View Code

方式二

通过获取返回的cookie中的字符串 放置在请求头中发送。

注意:需要引入一个jquery.cookie.js插件。

$.ajax({
  url: "/cookie_ajax/",
  type: "POST",
  headers: {"X-CSRFToken": $.cookie('csrftoken')},  // 从Cookie取csrf_token,并设置ajax请求头
  data: {"username": "Q1mi", "password": 123456},
  success: function (data) {
    console.log(data);
  }
})
View Code

 

方式三

代码复制,到js文件中,然后导入

function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');

function csrfSafeMethod(method) {
  // these HTTP methods do not require CSRF protection
  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

$.ajaxSetup({
  beforeSend: function (xhr, settings) {
    if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
      xhr.setRequestHeader("X-CSRFToken", csrftoken);
    }
  }
});
View Code

 

转载于:https://www.cnblogs.com/yangwei666/p/9238548.html

Django:Ajaxcsrf_token
HR_tigerking的博客
12-20 1050
起因:Ajax提示403错误 闲言碎语:据课程结束还有一周多,js杀我,要加油加油。 CSRF(Cross Site Request Forgery protection),中文简称跨站请求伪造。 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django设置防跨站请求伪造功能有分为全局...
django中间件生成csrf_token
fksfdh的博客
03-04 2526
class MiddlewareMixin: #django启动时就执行,与用户无关 def __init__(self, get_response=None): self.get_response = get_response super().__init__() def __call__(self, request): re...
django csrftoken ajax
03-10 1466
// AJAX请求,获取csrftoken $.ajaxSetup({ beforeSend: function(xhr, settings) { function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !
django使用ajax提交需要csrf,djangoAjax请求中提交csrfToken
weixin_30478241的博客
08-06 617
django中使用ajax请求响应,如果后使用的是视图方法最简单的是用在方法前引用@csrf_exempt装饰器就行了,但是如果我们使用的是视图类总是报path('farmer/taskdelete/',TaskDeleteFarmerView.as_view(),name='taskdelete_framer')AttributeError: 'function' object has no a...
Django中使用Ajax时使用CSRF保护
silent_missile的博客
11-05 994
Django中使用Ajax时使用CSRF保护需要服务器设置CSRF的相关选项。并且在客户端读取特定的信息,然后采用特定的格式发送给服务器才能正确处理。
Django,Ajax提交csrf_token处理
09-12 276
Ajax提交数据时候,携带CSRF: a. 放置在data中携带 <form method="POST" action="/csrf1.html"> {% csrf_token %} <input id="user" type="text" name="user" /> <input type="submit" va...
关于django中的csrf_token
weixin_43700349的博客
05-01 1230
什么是csrf_token csrf_tokendjango的一种安全机制,增加验证,是否是通过get请求先访问页面,然后再进行的提交,否则无法直接提交 当以form表单提交时,django会自动处理csrf_token 但是当使用ajax提交时,不会像form表单那样自动处理,必须手动获取 如何避免csrf_token报错 在from表单中加入{% csrf_token %} <form action='{% url 'LOGIN' %}' method="post"> ..
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更...教你如何在AJAX请求上设置令牌。
DjangoCsrf的使用
xyh2004的博客
05-26 866
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本,但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比更具危险性。
django ajax 提交数据csrftoken
pt_sm的博客
12-03 429
<script type="text/javascript"> var array1 = new Array(); function sel(e) { var myv = e.attributes["v"].nodeValue; console.log(myv); if (myv...
ajax获取djangocsrf_token
weixin_30337251的博客
04-17 552
''' 方法一: data: { 'teamid': teamid, csrfmiddlewaretoken: '{{ csrf_token }}' //data: {name: 'john', csrfmiddlewaretoken: '{{ csrf_token }}'}, } 方法二: //获取csrftoken function getCookie(name) { var cookie...
Java 设计模式之责任链模式
xiangxiongfly
12-17 699
职责链模式(Chain of Responsibility):使多个对象都有机会处理请求,从而避免请求的发送者和接收者之间的耦合关系。将这个对象连成一条链,并沿着这条链传递该请求,直到有一个对象处理它为止。
django文档中介绍的处理ajax post时,头中添加csrf token的方法
qq_27361945的博客
05-11 1366
https://docs.djangoproject.com/en/2.0/ref/csrf/#ajaxAJAX¶While the above method can be used for AJAX POST requests, it has someinconveniences: you have to remember to pass the CSRF token in as POST da...
django csrf攻击 ajax发送请求带上csrftoken 200318
鲸鱼编程-python全栈
03-25 157
js文件 ajax请求
Django中的CSRF使用及ajax请求接口时问题总结
Colinspace
11-23 1399
总结Django的常规使用CSRF的情况,以及如何在AJAX 中请求后端接口的时候,使用 CSRF
关于 django ajax csrftoken
ck07
02-27 508
若不想把js写在模版中可以用如下方法:    event.preventDefault(); data=$("#verifyPersonForm").serialize() $.ajax({                 url: "/usercenter/authentication/",                 type: "post",
ajaxcsrf数据,在Django框架中使用Ajax进行POST数据提交时必须携带csrf_token
weixin_42499790的博客
08-06 477
Django框架中使用Ajax进行POST数据提交时必须携带csrf_tokencsrf_token这是一种对为了防止脚本等非人为方式访问网址时的一种保护措施前端可以使用这几种方法:1、表单提交Post请求,隐藏字段就保存的csrf_token的值;2、有些情况除了表单参数还有其他数据:(1)获取表单对象,直接往表单对象添加数据,然后提交;(2)自己组装JSON格式的数据,通过ajax发起请求,...
django ajax请求 csrf验证失败
无形的专栏
12-02 3734
如何解决django ajax请求 csrf验证失败的问题: 原文链接:http://stackoverflow.com/questions/5100539/django-csrf-check-failing-with-an-ajax-post-request 大概意思是:django官方给出的方法都不起作用, 高手给了这样一段代码来设置请求头: /*===================
Django之中间件与CSRF_TOKEN
Mchen的博客
11-23 1242
Django中间件类似于django的门户,所有的请求来和响应走走必须经过中间件中间件顾名思义,是介于request与response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出。因为改变的是全局,所以需要谨慎实用,用不好会影响到性能中间件它的执行位置在web服务网关接口之后,在路由匹配之前执行的Django给我们提供了创建自定义中间件的方式,通过创建自定义中间件来实现全局的功能,例如全局用户黑名单校验、全局用户访问频率校验、网站全局用户身份校验等等。
<meta name="csrf-token" content="{% csrf_token %}">
最新发布
03-21
### 如何正确设置或使用 CSRF Token 在 Meta Tag 中 CSRF(跨站请求伪造)是一种常见的安全威胁,通常通过在表单或其他 HTTP 请求中嵌入隐藏字段来防止这种攻击。然而,在某些情况下,可能需要将 CSRF Token 放置在 `<meta>` 标签中以便前端 JavaScript 使用。 以下是实现这一功能的方法: #### 方法描述 为了使 CSRF Token 可供前端脚本访问,可以通过 HTML 的 `<meta>` 标签将其存储在页面头部。这样可以方便地让客户端代码读取并附加到 AJAX 请求头中。具体方法如下所示[^1]: ```html <meta name="csrf-token" content="{{ csrf_token }}"> ``` 上述代码片段展示了如何利用模板引擎动态生成包含 CSRF Token 的 `<meta>` 标签。`{{ csrf_token }}` 是 Django 模板中的占位符,它会被实际的 CSRF Token 替代。 随后,可以在 JavaScript 文件中编写逻辑以获取该令牌,并将其作为自定义请求头的一部分发送给服务器。例如: ```javascript // 获取 CSRF Token 值 function getCsrfToken() { const metaTag = document.querySelector('meta[name="csrf-token"]'); return metaTag ? metaTag.getAttribute('content') : null; } // 设置默认请求头 $.ajaxSetup({ beforeSend: function(xhr, settings) { if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type)) { xhr.setRequestHeader("X-CSRFToken", getCsrfToken()); } } }); ``` 此段 JavaScript 脚本首先定义了一个函数 `getCsrfToken()` 来检索 `<meta>` 标记的内容属性值。接着配置 jQuery 的全局 Ajax 配置对象,使得每次非 GET 类型请求都会自动附带名为 `"X-CSRFToken"` 的请求头及其对应的值。 另外需要注意的是,如果项目环境涉及 Maven 构建工具,则应确保已添加 OWASP CSRFGuard 或其他相关库的支持,从而增强安全性[^3]。 最后提醒开发者关注 Web 应用程序文档更新情况以及潜在的安全隐患说明,比如不当正则表达式可能导致拒绝服务漏洞等问题[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值