一、简介
2、django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能又分为全局和局部。
通过修改django中settings文件中中间件列表中的django.middleware.csrf.CsrfViewMiddleware,如果注释该选项,则表示全局不启用,否则表示全局启用
# 该装饰器加在views中的函数上
from django.views.decorators.csrf import csrf_exempt,csrf_protect # 导入装饰器
@csrf_protect # 为当前函数强制设置防跨站请求伪造功能,如果settings中没有设置全局中间件,在views中的函数加上该装饰器,则表示对该函数启用CSRF功能
@csrf_exempt # 取消当前函数防跨站请求伪造功能,如果settings中设置了全局中间件,在views中的函数加上该装饰器,则表示对该函数不启用CSRF功能
二、应用
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="/csrf/" method="post">
<!-- html通过该simple_tag参数由模板渲染将其转换成一个隐藏的input标签,例如:
<input type="hidden" name="csrfmiddlewaretoken" value="9BxEgRk6hMR8bLPwLJs516YHCsNihbK47Lc3CyPASUcXZXS4r9M0j3zz2QOsmJaC"> -->
{% csrf_token %}
<input type="text" name="v" />
<input type="submit" value="提交" />
</form>
</body>
</html>
from django.shortcuts import render
from django.views.decorators.csrf import csrf_protect
# Create your views here.
@csrf_protect
def csrf(request):
return render(request, 'csrf.html') # 这个地方一定要使用render,因为要对csrf.html中的模板语言进行渲染
2、通过Ajax提交
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
{% csrf_token %}
<input type="button" onclick="Do();" value="提交"/>
<script src="/static/jquery-1.12.4.js"></script>
<script src="/static/jquery.cookie.js"></script>
<script type="text/javascript">
{# 从cookie中拿到csrftoken #}
var csrftoken = $.cookie('csrftoken');
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
{# 当所有ajax发送数据之前都执行以下这个配置,自动将cookie中的csrftoken加入到request中的head中 #}
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});
function Do(){
$.ajax({
url:"/csrf/",
data:{id:1},
type:'POST',
success:function(data){
console.log(data);
}
});
}
</script>
</body>
</html>
from django.shortcuts import render
from django.views.decorators.csrf import csrf_protect
@csrf_protect
def csrf(request):
return render(request, 'csrf.html')