1、csrf_token的作用
django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。
2、设置csrf_token
对于django中设置防跨站请求伪造功能有分为全局和局部。
(1)全局
settings.py文件中:
MIDDLEWARE=[
......
django.middleware.csrf.CsrfViewMiddleware
]
若要取消csrf认证,就将该行注释掉即可(用postman模拟post请求时,需要将该行注释掉)
(2)局部
① FBV模式:
from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
@csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。
只需要在函数前加上相应的装饰器即可
② CBV模式:
第一种方式:
在dispatch方法前加装饰器@method_decorator(csrf_exempt)或@method_decorator(csrf_protect)
class StudentsView(View):
@method_decorator(csrf_exempt)
def dispatch(self, request, *args, **kwargs):
return super(StudentsView,self).dispatch(request,*args, **kwargs)
def get(self,request,*args,**kwargs):
return HttpResponse('GET')
def post(self,request,*args,**kwargs):
return HttpResponse('POST')
def delete(self,request,*args,**kwargs):
return HttpResponse('DELETE')
第二种方式:
在类前面加装饰器@method_decorator(csrf_exempt,name='dispatch')或@method_decorator(csrf_protect,name='dispatch')
@method_decorator(csrf_exempt,name='dispatch')
class StudentsView(View):
def get(self,request,*args,**kwargs):
return HttpResponse('GET')
def post(self,request,*args,**kwargs):
return HttpResponse('POST')
def delete(self,request,*args,**kwargs):
return HttpResponse('DELETE')
3、原理
在用户访问django的可信站点时,django反馈给用户的表单中有一个隐含字段csrftoken,这个值是在服务器端随机生成的,每一次提交表单都会生成不同的值。当用户提交django的表单时,服务器校验这个表单的csrftoken是否和自己保存的一致,来判断用户的合法性。当用户被csrf攻击从其他站点发送精心编制的攻击请求时,由于其他站点不可能知道隐藏的csrftoken字段的信息这样在服务器端就会校验失败,攻击被成功防御,这样就能避免被 CSRF 攻击。
csrf在ajax提交的时候通过请求头传递的给后台的;csrf在前端的key为:X-CSRFtoken,到后端的时候django会自动添加HTTP_,最后为HTTP_X_CSRFtoken
csrf在form中提交的时需要在前端form中添加{%csrftoken%},form中会自动生成一个隐藏的input
