Django CSRF認(rèn)證的幾種解決方案
什么是CSRF
瀏覽器在發(fā)送請求的時候,會自動帶上當(dāng)前域名對應(yīng)的cookie內(nèi)容,發(fā)送給服務(wù)端,不管這個請求是來源A網(wǎng)站還是其它網(wǎng)站,只要請求的是A網(wǎng)站的鏈接,就會帶上A網(wǎng)站的cookie。瀏覽器的同源策略并不能阻止CSRF攻擊,因為瀏覽器不會停止js發(fā)送請求到服務(wù)端,只是在必要的時候攔截了響應(yīng)的內(nèi)容?;蛘哒f瀏覽器收到響應(yīng)之前它不知道該不該拒絕。
攻擊過程
用戶登陸A網(wǎng)站后,攻擊者自己開發(fā)一個B網(wǎng)站,這個網(wǎng)站會通過js請求A網(wǎng)站,比如用戶點擊了某個按鈕,就觸發(fā)了js的執(zhí)行。
防止攻擊
- Double Submit Cookie
攻擊者是利用cookie隨著http請求發(fā)送的特性來攻擊。但攻擊者不知道 cookie里面是什么。
Django中是在表單中加一個隱藏的 csrfmiddlewaretoken,在提交表單的時候,會有 cookie 中的內(nèi)容做比對,一致則認(rèn)為正常,不一致則認(rèn)為是攻擊。由于每個用戶的 token 不一樣,B網(wǎng)站上的js代碼無法猜出token內(nèi)容,對比必然失敗,所以可以起到防范作用。
- Synchronizer Token
和上面的類似,但不使用 cookie,服務(wù)端的數(shù)據(jù)庫中保存一個 session_csrftoken,表單提交后,將表單中的 token 和 session 中的對比,如果不一致則是攻擊。
這個方法實施起來并不困難,但它更安全一些,因為網(wǎng)站即使有 xss 攻擊,也不會有泄露token的問題。
Django使用CsrfViewMiddleware中間件進(jìn)行CSRF校驗,默認(rèn)開啟防止csrf(跨站點請求偽造)攻擊,在post請求時,沒有攜帶csrf字段,導(dǎo)致校驗失敗,報403錯誤。那么我們?nèi)绾谓鉀Q這種403錯誤呢?
解決方法
1. 去掉項目的CSRF驗證
注釋掉此段代碼即可,但是不推薦此方式,將導(dǎo)致我們的網(wǎng)站完全無法防止CSRF攻擊。
2. 前端表單中增加csrf信息
<form enctype="multipart/form-data" method="post" action="{% url 'add_data' %}"> {% csrf_token %} </form>
一定要注意后端使用render而不要使用render_to_response進(jìn)行渲染,這樣前端就會有csrf_token變量,前端cookies中也會出現(xiàn)csrftoken數(shù)據(jù),然后在HTML中使用即可。這種方式只限制在form表單中使用,ajax請求不支持。
3. 指定請求去掉CSRF校驗
可以只針對指定的路由去掉CSRF校驗,這也分為兩種情況:
FBV:以函數(shù)實現(xiàn)路由處理
# 導(dǎo)入,可以使此次請求忽略csrf校驗 from django.views.decorators.csrf import csrf_exempt # 在處理函數(shù)加此裝飾器即可 @csrf_exempt def add_data(request): result = {} # TODO return HttpResponse(result)
CBV:以類實現(xiàn)路由處理
from django.views import View from django.views.decorators.csrf import csrf_exempt from django.utils.decorators import method_decorator class IndexView(View): @method_decorator(csrf_exempt) def dispatch(self, request, *args, **kwargs): return super().dispatch(request, *args, **kwargs) def get(self, request, *args, **kwargs): return render(request, 'home.html') def post(self, request, *args, **kwargs): data = request.POST.get('data') qr_path = gen_qrcode(data) return HttpResponse(qr_path)
或者用下面的方式,把裝飾器放在類外面
from django.views import View from django.views.decorators.csrf import csrf_exempt from django.utils.decorators import method_decorator @method_decorator(csrf_exempt, name='dispatch') class IndexView(View): def get(self, request, *args, **kwargs): return render(request, 'home.html') def post(self, request, *args, **kwargs): data = request.POST.get('data') qr_path = gen_qrcode(data) return HttpResponse(qr_path)
4. 為所有請求添加csrf校驗數(shù)據(jù)(推薦)
以上方式都有限制,適用范圍比較窄,我們需要一種可以一勞永逸的方式:讓所有請求都攜帶csrf數(shù)據(jù)。因為我們是使用Django模板渲染前端頁面的,所以一般會先定義一個base.html,其他頁面通過{% extends "base.html" %}來引入使用,那么在base.html中添加ajax的全局鉤子,在請求時添加csrf數(shù)據(jù)即可。
<!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>{% block title %}首頁{% endblock %}</title> <link rel="stylesheet" href="{% static 'css/base.css'%}"> <script src="https://cdn.bootcss.com/jquery/3.4.1/jquery.min.js"></script> <script> $.ajaxSetup({ data: { csrfmiddlewaretoken: '{{ csrf_token }}' } }) </script> {% block css %} {% endblock %} </head> <body>
到此這篇關(guān)于Django CSRF認(rèn)證的幾種解決方案的文章就介紹到這了,更多相關(guān)Django CSRF認(rèn)證 內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!
相關(guān)文章
media配置及把用戶頭像從數(shù)據(jù)庫展示到前端的操作方法
media配置可以讓用戶上傳的所有文件都固定的存放在某一個指定的文件夾下,接下來通過本文給大家介紹下media配置及把用戶頭像從數(shù)據(jù)庫展示到前端的操作,需要的朋友可以參考下2022-09-09Python使用re模塊實現(xiàn)okenizer(表達(dá)式分詞器)
這篇文章主要介紹了Python使用re模塊實現(xiàn)okenizer,我們這里講解用正則表達(dá)式構(gòu)建簡單的表達(dá)式分詞器(tokenizer),它能夠?qū)⒈磉_(dá)式字符串從左到右解析為標(biāo)記(tokens)流,需要的朋友可以參考下2022-04-04Python內(nèi)置函數(shù)locals和globals對比
這篇文章主要介紹了Python內(nèi)置函數(shù)locals和globals對比,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友可以參考下2020-04-04Python如何寫入Pandas DataFrame到CSV文件
Pandas是一個功能強大的Python數(shù)據(jù)分析庫,常用于處理和分析數(shù)據(jù),CSV文件是一種廣泛使用的數(shù)據(jù)交換格式,Pandas通過to_csv方法支持將DataFrame寫入CSV文件,此方法允許用戶指定分隔符、編碼和選擇性寫入特定列等2024-09-09詳解python opencv、scikit-image和PIL圖像處理庫比較
這篇文章主要介紹了詳解python opencv、scikit-image和PIL圖像處理庫比較,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧2019-12-12Python自定義函數(shù)定義,參數(shù),調(diào)用代碼解析
這篇文章主要介紹了Python自定義函數(shù)定義,參數(shù),調(diào)用代碼解析,具有一定借鑒價值,需要的朋友可以參考下。2017-12-12