web跨域請求

1.為什么要有跨域限制

舉個例子：

1.用戶登錄了自己的銀行頁面 http://mybank.com，http://mybank.com向用戶的cookie中添加用戶標(biāo)識。
2.用戶瀏覽了惡意頁面 http://evil.com。執(zhí)行了頁面中的惡意AJAX請求代碼。
3.http://evil.com向http://mybank.com發(fā)起AJAX HTTP請求，請求會默認(rèn)把http://mybank.com對應(yīng)cookie也同時發(fā)送過去。
4.銀行頁面從發(fā)送的cookie中提取用戶標(biāo)識，驗證用戶無誤，response中返回請求數(shù)據(jù)。此時數(shù)據(jù)就泄露了。
5.而且由于Ajax在后臺執(zhí)行，用戶無法感知這一過程。

以上就是所謂是CSRF（Cross-site request forgery）攻擊，跨站請求偽造。接下來說一下 Django中處理csrf的方式

正常情況下直接發(fā)起一個psot請求，會報錯。錯誤的意思是csrf校驗失敗，request請求被丟棄掉。

那么在django中的post失敗有兩種解決辦法：

解決辦法一：將csrf中間層注釋掉

MIDDLEWARE = [
 
  'django.middleware.security.SecurityMiddleware',
 
  'django.contrib.sessions.middleware.SessionMiddleware',
 
  'django.middleware.common.CommonMiddleware',
 
#  'django.middleware.csrf.CsrfViewMiddleware',
 
  'django.contrib.auth.middleware.AuthenticationMiddleware',
 
  'django.contrib.messages.middleware.MessageMiddleware',
 
  'django.middleware.clickjacking.XFrameOptionsMiddleware',
 
]

此時將不會進(jìn)行csrf的校驗，但如前面所述，這是一種不安全的行為。而且djano也不推薦使用

解決辦法二：

在前面的提示中有這樣一句話：

<form action="" method="post">{% csrf_token %}

也就是說在網(wǎng)頁中加入csrf_token的標(biāo)簽就可以通過csrf校驗

Django 提供的 CSRF 防護(hù)機(jī)制：

1、django 第一次響應(yīng)來自某個客戶端的請求時，會在服務(wù)器端隨機(jī)生成一個 token，把這個 token 放在 cookie 里。然后每次 POST 請求都會帶上這個 token，這樣就能避免被 CSRF 攻擊。

2、在返回的 HTTP 響應(yīng)的 cookie 里，django 會為你添加一個 csrftoken 字段，其值為一個自動生成的 token，在所有的 POST 表單時，必須包含一個 csrfmiddlewaretoken 字段 （只需要在模板里加一個 tag， django 就會自動幫你生成，見下面）

3、在處理 POST 請求之前，django 會驗證這個請求的 cookie 里的 csrftoken 字段的值和提交的表單里的 csrfmiddlewaretoken 字段的值是否一樣。如果一樣，則表明這是一個合法的請求，否則，這個請求可能是來自于別人的 csrf 攻擊，返回 403 Forbidden.

4、在所有 ajax POST 請求里，添加一個 X-CSRFTOKEN header，其值為 cookie 里的 csrftoken 的值

以上就是本文的全部內(nèi)容，希望對大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

最新評論