快捷導(dǎo)航

python Django里CSRF 對(duì)應(yīng)策略詳解

更新時(shí)間：2019年08月05日 14:12:05 作者：851096287

這篇文章主要介紹了python Django里CSRF 對(duì)應(yīng)策略詳解,文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友可以參考下

CSRF（Cross Site Request Forgery, 跨站域請(qǐng)求偽造）是一種網(wǎng)絡(luò)的×××方式。

我的理解是，比如你訪(fǎng)問(wèn)過(guò)招商銀行的網(wǎng)站并登陸之后，你的cookie信息暫時(shí)不會(huì)失效，

這時(shí)，hacker通過(guò)各種方式誘導(dǎo)你訪(fǎng)問(wèn)他給你提供的網(wǎng)站等鏈接，讓你在同一瀏覽器訪(fǎng)問(wèn)

hacker給你的網(wǎng)站時(shí)，那么他給你提供的網(wǎng)站里面有直接有向招商銀行提交轉(zhuǎn)賬信息的請(qǐng)求，這時(shí)，

這個(gè)轉(zhuǎn)賬請(qǐng)求會(huì)借用你剛剛登陸過(guò)招商銀行的cookie信息，來(lái)使用的你的身份進(jìn)行合法的轉(zhuǎn)賬。

那么為了減少這個(gè)情況的發(fā)生，在客戶(hù)端與服務(wù)端交互的時(shí)候，當(dāng)客戶(hù)端瀏覽器第一次訪(fǎng)問(wèn)cookie的時(shí)候，服務(wù)端會(huì)有基于csrf的隨機(jī)驗(yàn)證字符串生成，然后把這些字符串寫(xiě)到客戶(hù)端cookie里，同時(shí)服務(wù)端在session里保存一份，當(dāng)客戶(hù)端瀏覽器再次發(fā)來(lái)post請(qǐng)求的時(shí)候，服務(wù)端會(huì)驗(yàn)證cookie里csrf_token（就是生成的這個(gè)隨機(jī)字符串）。

Django里自動(dòng)幫我們封裝了這個(gè)功能，在Django項(xiàng)目里的setting.py文件里會(huì)默認(rèn)開(kāi)啟 'django.middleware.csrf.CsrfViewMiddleware',這一項(xiàng)功能。

所以我們html文件里有post請(qǐng)求的時(shí)候要在from表單里添加{% csrf_token %}這一項(xiàng)

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <title>Title</title>
</head>
<body>
  <div>
    <form action="/app01/login/" method="post">
 {% csrf_token %}
      <input type="text" name="username">
      <input type="password" name="pwd">
      <input type="submit" value="提交">
    </form>
  </div>
</body>
</html>

但是有的時(shí)候是不需要 csrf_token 認(rèn)證的，有的時(shí)候是需要的，但是Django項(xiàng)目里的setting.py文件里設(shè)置了 'django.middleware.csrf.CsrfViewMiddleware'之后就是全局生效了；這就不是我們所需要的了。

那么如果有的函數(shù)不需要csrf_token 認(rèn)證的話(huà)，那么就需要用到@csrf_exempt裝飾器來(lái)設(shè)置單個(gè)函數(shù)不用csrf_token 認(rèn)證

from django.views.decorators.csrf import csrf_exempt,csrf_protect

@csrf_exempt是不需要設(shè)置csrf_token認(rèn)證的

@csrf_protect是需要設(shè)置csrf_token 認(rèn)證的

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章:

相關(guān)文章

python內(nèi)置函數(shù)map/filter/reduce詳解
在Python中,map(), filter(), 和 reduce() 是內(nèi)置的高級(jí)函數(shù)(實(shí)際是class),用于處理可迭代對(duì)象（如列表、元組等）的元素,這篇文章主要介紹了python內(nèi)置函數(shù)map/filter/reduce的相關(guān)知識(shí),需要的朋友可以參考下
2024-05-05
Python 將代碼轉(zhuǎn)換為可執(zhí)行文件脫離python環(huán)境運(yùn)行(步驟詳解)
這篇文章主要介紹了Python 將代碼轉(zhuǎn)換為可執(zhí)行文件脫離python環(huán)境運(yùn)行(步驟詳解),本文給大家介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值，需要的朋友可以參考下
2021-01-01
利用 python 對(duì)目錄下的文件進(jìn)行過(guò)濾刪除
這篇文章主要給大家介紹了關(guān)于如何利用 python 對(duì)目錄下的文件進(jìn)行過(guò)濾刪除的相關(guān)資料，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧。
2017-12-12
pygame實(shí)現(xiàn)俄羅斯方塊游戲（對(duì)戰(zhàn)篇1）
這篇文章主要為大家詳細(xì)介紹了pygame實(shí)現(xiàn)俄羅斯方塊游戲的對(duì)戰(zhàn)篇，文中示例代碼介紹的非常詳細(xì)，具有一定的參考價(jià)值，感興趣的小伙伴們可以參考一下
2019-10-10
對(duì)Python中class和instance以及self的用法詳解
今天小編就為大家分享一篇對(duì)Python中class和instance以及self的用法詳解，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。一起跟隨小編過(guò)來(lái)看看吧
2019-06-06
Python實(shí)現(xiàn)批量合并Excel文件的第二張合并Excel
在數(shù)據(jù)處理和分析中,經(jīng)常需要對(duì)多個(gè)Excel文件進(jìn)行批量操作,特別是當(dāng)這些文件具有相似的結(jié)構(gòu)時(shí),下面我們就來(lái)看看Python如何實(shí)現(xiàn)批量合并文件夾下所有Excel文件的第二張表吧
2024-03-03
Python中argparse基本用法小結(jié)
argparse是一個(gè)強(qiáng)大而靈活的模塊,它可以幫助你輕松地處理命令行參數(shù),本文主要介紹了Python中argparse基本用法小結(jié),具有一定的參考價(jià)值,感興趣的可以了解一下
2024-02-02
Python處理字符串中文(漢字)編碼的實(shí)例
這篇文章主要介紹了Python處理字符串中文(漢字)編碼的實(shí)例,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
2024-04-04
Python中的兩個(gè)列表數(shù)值加法
這篇文章主要介紹了Python中的兩個(gè)列表數(shù)值加法,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
2023-08-08
python中字典的常見(jiàn)操作總結(jié)2
這篇文章主要介紹了python中字典的常見(jiàn)操作總結(jié)，文章圍繞主題展開(kāi)詳細(xì)的內(nèi)容介紹，具有一定的參考價(jià)值，需要的小伙伴可以參考一下
2022-07-07