Django学习-17-CSRF

CSRF（跨站请求伪造）

        用户请求获取数据时，加入一段加密字符串，只有服务器能反解。

        XSS（跨站脚本攻击）,JS脚本在网站中运行,如果获取到用户Cookie，可以利用Cookie实现登录。

        CSRF验证使用户提交数据时，如果不带上加密字符串不允许登录。

        所以发送给客户端的页面中要加上CSRFtoken，这样，下次客户端再次请求时就会有加密后的随机字符串

  

        settings.py中间件CSRF

        'django.middleware.csrf.CsrfViewMiddleware'

    开启这个功能，默认Django的所有post请求如果不带上csrftoken不允许请求页面

 

 

        1.一般不这么发,会放在请求头中发送

        <form action>        

            ｛%csrf_token%｝

        </form>

        2.Ajex请求带上CSRF

        一般来说如果在请求头中添加数据key-mysql,那么Django会在最终的请求头的把key改变为HTTP_KEY(下划线非法)

        我们的CSRF也默认在请求头中传递，键名为HTTP_X_CSRFTOKEN  -----> X-CSRFtoken

        这样传递就会通过CSRF的验证中间件

         ①$('#i1').click(function(){

                var csrf_token = $.cookie('csrf_token')

                $.ajax({

                    url:'xxx',

                    type:'post',

                    data:{ 'username':xxx,'password':123123 }

                    headers:{ 'x-CSRFtoken':csrf_token }

                    success:function(arg){

                        

                    }

                })

         })

        ②Ajax整个页面统一配置

         xhr 是 XMLHttpRequest对象，默认Ajax底层使用的就是它

         var csrftoken = $.cookie('csrftoken');

         function csrfSafeMethod(method) {

            // these HTTP methods do not require CSRF protection

            return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));

        }

        $.ajaxSetup({

            beforeSend: function(xhr, settings) {

                if (!csrfSafeMethod(settings.type) && !this.crossDomain) {

                    xhr.setRequestHeader("X-CSRFToken", csrftoken);

                }

            }

        });

    

      大多数请求需要CSRF验证

from django.views.decorators.csrf import csrf_exempt

from django.views.decorators.csrf import csrf_protect

            @csrf_exempt，取消当前函数防跨站请求伪造功能，即便settings中设置了全局中间件。            

      少数请求需要CSRF验证

            @csrf_protect，为当前函数强制设置防跨站请求伪造功能，即便settings中没有设置全局中间件。