• Django与CSRF 、AJAX


    CSRF(Cross-site request forgery)跨站请求伪造,是一种常见的网络攻击手段,具体内容和含义请大家自行百度。

    Django为我们提供了防范CSRF攻击的机制。

    一、基本使用

    默认情况下,使用django-admin startproject xxx命令创建工程时,CSRF防御机制就已经开启了。如果没有开启,请在MIDDLEWARE设置中添加'django.middleware.csrf.CsrfViewMiddleware'。

    对于GET请求,一般来说没有这个问题,CSRF通常是针对POST方法的!

    在含有POST表单的模板中,需要在其<form>表单元素内部添加csrf_token标签,如下所示:

    <form action="" method="post">
        {% csrf_token %}
        ....
    </form>
    

    这样,当表单数据通过POST方法,发送到后台服务器的时候,除了正常的表单数据外,还会携带一个CSRF令牌随机字符串,用于进行csrf验证。其实没有多么麻烦和复杂,对么?如果表单中没有携带这个csrf令牌,你将会获得一枚403奖章。

    额外提示:对于初学者,要明白一件事情,就是我们上面讲的都是Django项目自己内部的事务,不涉及与外界的关系。例如,你不能把上面那个表单发往百度,百度会懵逼的,你这发的啥?其次,那样也不安全,可能引起CSRF信息泄露而导致自己的站点出现漏洞。

    二、 AJAX

    我们知道,在前端的世界,有一种叫做AJAX的东西,也就是“Asynchronous Javascript And XML”(异步 JavaScript 和 XML),经常被用来在不刷新页面的情况下,提交和请求数据。如果我们的Django服务器接收的是一个通过AJAX发送过来的POST请求的话,那么将很麻烦。

    为什么?因为AJAX中,没有办法像form表单中那样携带{% csrf_token %}令牌。

    那怎么办呢?

    好办!在你的前端模版的JavaScript代码处,添加下面的代码:

    // using jQuery
    function getCookie(name) {
        var cookieValue = null;
        if (document.cookie && document.cookie !== '') {
            var cookies = document.cookie.split(';');
            for (var i = 0; i < cookies.length; i++) {
                var cookie = jQuery.trim(cookies[i]);
                // Does this cookie string begin with the name we want?
                if (cookie.substring(0, name.length + 1) === (name + '=')) {
                    cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                    break;
                }
            }
        }
        return cookieValue;
    }
    var csrftoken = getCookie('csrftoken');
    
    function csrfSafeMethod(method) {
        // 这些HTTP方法不要求CSRF包含
        return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
    }
    $.ajaxSetup({
        beforeSend: function(xhr, settings) {
            if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
                xhr.setRequestHeader("X-CSRFToken", csrftoken);
            }
        }
    });
    

    上面代码的作用就是让你的ajax的POST方法带上CSRF需要的令牌,它依赖Jquery库,必须提前加载Jquery。这是Django官方提供的解决方案哦,^-^。

    三、装饰器

    1. 单独指定csrf验证需要

    有时候,我们在全站上关闭了CSRF功能,但是希望某些视图还有CSRF防御,那怎么办呢?

    Django为我们提供了一个csrf_protect(view)装饰器,使用起来非常方便,如下所示:

    from django.views.decorators.csrf import csrf_protect
    from django.shortcuts import render
    
    @csrf_protect
    def my_view(request):
        c = {}
        # ...
        return render(request, "a_template.html", c)
    

    现在,虽然全站关掉了csrf,但是my_view视图依然需要进行csrf验证。

    2. 单独指定忽略csrf验证

    有正就有反。在全站开启CSRF机制的时候,有些视图我们并不想开启这个功能。比如,有另外一台机器通过requests库,模拟HTTP通信,以POST请求向我们的Django主机服务器发送过来了一段保密数据。它无法携带CSRF令牌,必然会被403。

    这怎么办呢?

    在接收这个POST请求的视图上为CSRF开道口子,不进行验证。这就需要使用Django为我们提供的csrf_exempt(view)装饰器了,下面是使用范例:

    from django.views.decorators.csrf import csrf_exempt
    from django.http import HttpResponse
    
    @csrf_exempt
    def my_view(request):
        return HttpResponse('Hello world')
    

    这下POST数据是没问题了,但是又带来了新的安全问题,需要你自己处理。

    3. 确保csrf令牌被设置

    Django还提供了一个装饰器,确保被装饰的视图在返回页面时同时将csrf令牌一起返回。

    这个装饰器是:ensure_csrf_cookie(view),其使用方法和上面的一样:

    from django.views.decorators.csrf import ensure_csrf_cookie
    from django.http import HttpResponse
    
    @ensure_csrf_cookie
    def my_view(request):
        return HttpResponse('Hello world')
    

    4. requires_csrf_token(view)

    这个装饰器类似csrf_protect,一样要进行csrf验证,但是它不会拒绝发送过来的请求。

    from django.views.decorators.csrf import requires_csrf_token
    from django.shortcuts import render
    
    @requires_csrf_token
    def my_view(request):
        c = {}
        # ...
        return render(request, "a_template.html", c)
  • 相关阅读:
    The library 'hostpolicy.dll' required to execute the application was not found in
    矩阵乘法
    2019-11-1
    四边形不等式的应用
    2019-10-30
    2019-10-29
    差分与前缀和
    平衡树SPLAY
    可爱的树链剖分(染色)
    cable tv network
  • 原文地址:https://www.cnblogs.com/navysummer/p/10200298.html
Copyright © 2020-2023  润新知