詳解利用django中間件django.middleware.csrf.CsrfViewMiddleware防止csrf攻擊

更新時間：2018年10月09日 11:03:57 作者：love_xiaohuihui

這篇文章主要介紹了詳解利用django中間件django.middleware.csrf.CsrfViewMiddleware防止csrf攻擊，小編覺得挺不錯的，現(xiàn)在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧

一、在django后臺處理

1、將django的setting中的加入django.contrib.messages.middleware.MessageMiddleware，一般新建的django項目中會自帶的。

MIDDLEWARE_CLASSES = [
  'django.middleware.security.SecurityMiddleware',
  'django.contrib.sessions.middleware.SessionMiddleware',
  'django.middleware.common.CommonMiddleware',
  'django.middleware.csrf.CsrfViewMiddleware',
  'django.contrib.auth.middleware.AuthenticationMiddleware',
  'django.contrib.auth.middleware.SessionAuthenticationMiddleware', 
  'django.contrib.messages.middleware.MessageMiddleware', 
]

2、在templete的html頁的from中添加{% csrf %}，后臺重定向語法如下：

return render_to_response(xxx.html', context_instance=RequestContext(request))

二、前端處理

對所有的ajax請求加上以下語句：

$(function () {
  $.ajaxSetup({
    data: {csrfmiddlewaretoken: '{{ csrf_token }}'},
  });
})

這樣向后臺的請求都會帶django生成的那個csrf_token值。中間件csrf模塊會截取判斷csrf_token值是否一致，如果一致則請求合法。

三、對于ajax的復雜對象，例如[{"id":"001","name":"小明"},{"id":"002","name":"小軍"}].，后臺post的處理

必須將這種對象轉化為json格式傳到后臺，后臺在反序列化即可。（不要用ajax的其他序列化格式，其深度序列化后，django后臺解析比較困難）

contentType不需要指定utf-8，否則post解析出錯

四、csrf攻擊與預防

csrf利用session和cookie的時效性進行攻擊。他會獲取請求的cookie，在session時效內進行請求。因此對于重要信息，重要功能進行單次請求處理。即請求一次失效。

例如：請求頭中加入驗證token信息，用完即失效。django的中間件csrf_token就是此原理防止的。

以上就是本文的全部內容，希望對大家的學習有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章:

python3利用venv配置虛擬環(huán)境及過程中的小問題小結
這篇文章主要介紹了python3利用venv配置虛擬環(huán)境及過程中的小問題小結，小編覺得挺不錯的，現(xiàn)在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧
2018-08-08
python numpy 按行歸一化的實例
今天小編就為大家分享一篇python numpy 按行歸一化的實例，具有很好的參考價值，希望對大家有所幫助。一起跟隨小編過來看看吧
2019-01-01
python數(shù)據(jù)可視化plt庫實例詳解
這篇文章主要介紹了python可視化數(shù)據(jù)plt庫實例,下面使用pycharm環(huán)境給大家詳細介紹，文中提到jupyter和pycharm環(huán)境的差別，需要的朋友可以參考下
2021-06-06
python基礎教程之分支、循環(huán)簡單用法
這篇文章主要介紹了python基礎教程之分支、循環(huán)簡單用法,結合實例形式分析了Python分支及循環(huán)語句的簡單使用方法,需要的朋友可以參考下
2016-06-06
淺談TensorFlow中讀取圖像數(shù)據(jù)的三種方式
這篇文章主要介紹了淺談TensorFlow中讀取圖像數(shù)據(jù)的三種方式,文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧
2020-06-06
增大python字體的方法步驟
在本篇文章里小編給大家整理了關于增大python字體的方法步驟，需要的朋友們可以學習下。
2020-07-07
Django管理員賬號和密碼忘記的完美解決方法
這篇文章主要給大家介紹了關于Django管理員賬號和密碼忘記的完美解決方法，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面來一起看看吧
2018-12-12
python中的 zip函數(shù)詳解及用法舉例
zip()是Python的一個內建函數(shù)，它接受一系列可迭代的對象作為參數(shù)，將對象中對應的元素打包成一個個tuple（元組），然后返回由這些tuples組成的list（列表）。這篇文章主要介紹了python中的 zip函數(shù)詳解及用法舉例,需要的朋友可以參考下
2020-02-02
Python安裝Bs4及使用方法
這篇文章主要介紹了Python安裝Bs4及使用方法，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧
2021-04-04
python 畫函數(shù)曲線示例
今天小編就為大家分享一篇python 畫函數(shù)曲線示例，具有很好的參考價值，希望對大家有所幫助。一起跟隨小編過來看看吧
2019-12-12