Django 安全之跨站点请求伪造（CSRF）保护

Django 安全之跨站点请求伪造（CSRF）保护

by:授客 QQ：1033553122

测试环境

Win7

Django 1.11

 

跨站点请求伪造（CSRF）保护

中间件配置

默认的CSRF中间件在MIDDLEWARE中定义并处于激活状态。如果需要变更默认配置，修改settings.py中的MIDDLEWARE配置即可，如下，假设要开启CSRF，确保列表包含  'django.middleware.csrf.CsrfViewMiddleware'，并且其位置位于其它会对CSRF攻击进行处理的中间件之前，假设要禁用CSRF中间件，去掉列表中的'django.middleware.csrf.CsrfViewMiddleware'，或者采用注释方式，把 'django.middleware.csrf.CsrfViewMiddleware' 注释掉。注意：更改配置后需要重启web服务器。

MIDDLEWARE = [

    ……,

'django.middleware.csrf.CsrfViewMiddleware',

……

]

如果CSRF中间件被禁用(不推荐)，又想对特定视图启用中间件保护，则可以针对特定视图使用csrf_protect()修饰器，如下：

from django.views.decorators.csrf import csrf_protect

@csrf_protect

def specific_view(request):

    do something

参考链接：https://docs.djangoproject.com/en/2.1/ref/csrf/#django.views.decorators.csrf.csrf_protect

相反的，如果中间件已经开启，但是又不想针对特定视图使用中间件保护，则可以针对特定视图使用csrf_exempt() 修饰器

from django.views.decorators.csrf import csrf_exempt

@csrf_exempt

def specific_view(request):

do something

参考链接：https://docs.djangoproject.com/en/2.1/ref/csrf/#utilities

 

html模板配置

开启CSRF中间件的情况下，要在html模板中为使用post方法的form表单新增 csrf_token tag，如下：

<form method="post">

{% csrf_token %}

<input ...>... </input>

...

</form>

注意：如果被渲染的view视图未使用csrf_token模板标签，Django可能不会设置CSRF token cookie。这种情况下，假如有必要，可以使用Django提供的 @ensure_csrf_cookie()装饰器强制view视图发送CSRF cookie。

from django.views.decorators.csrf import ensure_csrf_cookie

@ensure_csrf_cookie()

def specific_view(request):

do something

view视图函数

对应的视图函数中，确保使用了RequestContext来渲染response，以便{%csrf_token %}可以正常运行。因为 render()函数使用了RequestContext，所以一般的view中，使用render()也是可以的。

前端js脚本

注意：如果已开启CSRF 的情况下，需要给请求添加X_CSRFTOKEN 请求头，否则会报403错误

/**

 * 验证不需要CSRF保护的HTTP方法名（GET|HEAD|OPTIONS|TRACE

 */

function csrfSafeMethod(method) {

return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));

}

/**

 * 获取cookie项的值

 * key：cookie名称

 */

function getCookie(key) {

var cookies = document.cookie.split(';'); // 获取每个cookie项(不含会话id)

var value = undefined;

for (var i in cookies) {

var kv = cookies[i].split('='); // 每个cookie项的名称和cookie的值

var temp_key = kv[0].replace(' ', ''); // 获取的cookie项有多个值，第二个开始，键 的值 的左侧会加个空格

if (key == temp_key) {

var value = kv[1];

break;

}

}

return value;

}

/**

 * Created by shouke on 2018/11/1.

 */

 

//全局变量设置

var loginURL = '/platform/api/v1/login'; // 注册api地址

var loginFormID = 'login-form';           // 登录表单ID

var registerRightNowID = 'registerRightNow' // 立即注册链接ID

 

/**

 * 初始化

 */

$(document).ready(function() {

// 设置顶部导航

setTopNav();

var resources = $.session.get('resources');

if (resources) {

resources = JSON.parse(resources).resources;

// 设置立即注册url

$("#" + registerRightNowID).attr("href", resources.register_url.url);

} else {

alert('获取资源失败，导致设置立即注册连接失败');

}

// 为登录表单绑定提交事件

$('#' + loginFormID).submit(function() {

/**

         * 提交登录信息

         */

var dataArray = $('#' + loginFormID).serializeArray();

var data = {}

$.each(dataArray, function () {

data[this.name] = this.value;

});

var csrfToken = getCookie('csrftoken');

if (csrfToken == undefined) {

alert('获取Cookie失败');

return false;

      }

$.ajax({

type: "POST",

url: loginURL,

async: false,

data: data,

beforeSend: function (xhr, settings) {

if (!csrfSafeMethod(settings.type) && !this.crossDomain) {

                    xhr.setRequestHeader("X-CSRFTOKEN", csrfToken);

             }

         },

success: function (result) {

if (result.success == 'true') {

alert(result.msg);

$.session.remove('resources');                // 清空登录前获取的资源，以便重新获取资源

                 // 重定向返回登录前的页面

window.location.href = result.next;

} else {

alert(result.msg + "，" + result.reason);

}

},

error: function(XmlHttpRequest, textStatus, errorThrown) {

alert('登录请求失败' + XmlHttpRequest.responseText);

}

});

return false;

});

});

注意：这里最后面添加的return false; 主要是用于 避免跳转到django后台的返回结果数据页

参考链接

https://docs.djangoproject.com/en/2.1/ref/csrf/#using-csrf

https://docs.djangoproject.com/en/2.1/topics/security/#cross-site-request-forgery-csrf-protection