一:csrf到底是什么:
csfr(cross-site request forgery)跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网址。
具体步骤:
第一步:登陆正常网站,获取到cookie
第二步:在没有保存cookie的情况下登陆了黑客网站
第三步:进行一系列数据操作之后,黑客网站把受益方换作第三方账号,在向正常网站的服务器发出请求(由于携带cookie,正常网站默认合法)
二:csrf攻击防范:
在正常的网站的form表单中,加入一个隐藏的特殊字符串,后端记下该页面对应的字符串的值,等带用户post请求发过来的时候,先去校验特殊字符串是否匹配。
在html文件中:
<form action="" method="post"> {# 加入特殊字符串的固定写法#} {% csrf_token %} <p>username:<input type="text" name="username"></p> <p>password:<input type="password" name="password"></p> <input type="submit"> </form>
在view.py中又两种用法:
一种是在注释掉:'django.middleware.csrf.CsrfViewMiddleware'之后主动保护某个功能:
from django.views.decorators.csrf import csrf_exempt,csrf_protect @csrf_protect def index2(request): return HttpResponse('ok')
一种是在没有注释掉:'django.middleware.csrf.CsrfViewMiddleware',取消某个功能的保护状态:
from django.views.decorators.csrf import csrf_exempt,csrf_protect @csrf_exempt def index1(request): return HttpResponse('ok')
需要注意的是,FBV与CBV的不同:
csrf-protect:跟正常的FBV一样
csrf-exempt:只能又下面的两种方式
from django.utils.decorators import method_decorator @method_decorator(csrf_exempt,name='dispatch') # 第一种 class Index3(View): # @method_decorator(csrf_exempt) # 第二种 def dispatch(self, request, *args, **kwargs): super().dispatch(request,*args,**kwargs) def get(self,request): return HttpResponse('get') def post(self,request): return HttpResponse('post')
ps:csrf-exempt不能局部禁用,只能全局禁用。