欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Django CSRF認(rèn)證的幾種解決方案

 更新時(shí)間:2020年03月03日 08:34:59   作者:鄧尚星  
這篇文章主要介紹了Django CSRF認(rèn)證的幾種解決方案,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

什么是CSRF

瀏覽器在發(fā)送請求的時(shí)候,會(huì)自動(dòng)帶上當(dāng)前域名對應(yīng)的cookie內(nèi)容,發(fā)送給服務(wù)端,不管這個(gè)請求是來源A網(wǎng)站還是其它網(wǎng)站,只要請求的是A網(wǎng)站的鏈接,就會(huì)帶上A網(wǎng)站的cookie。瀏覽器的同源策略并不能阻止CSRF攻擊,因?yàn)闉g覽器不會(huì)停止js發(fā)送請求到服務(wù)端,只是在必要的時(shí)候攔截了響應(yīng)的內(nèi)容?;蛘哒f瀏覽器收到響應(yīng)之前它不知道該不該拒絕。

攻擊過程

用戶登陸A網(wǎng)站后,攻擊者自己開發(fā)一個(gè)B網(wǎng)站,這個(gè)網(wǎng)站會(huì)通過js請求A網(wǎng)站,比如用戶點(diǎn)擊了某個(gè)按鈕,就觸發(fā)了js的執(zhí)行。

防止攻擊

  • Double Submit Cookie

攻擊者是利用cookie隨著http請求發(fā)送的特性來攻擊。但攻擊者不知道 cookie里面是什么。

Django中是在表單中加一個(gè)隱藏的 csrfmiddlewaretoken,在提交表單的時(shí)候,會(huì)有 cookie 中的內(nèi)容做比對,一致則認(rèn)為正常,不一致則認(rèn)為是攻擊。由于每個(gè)用戶的 token 不一樣,B網(wǎng)站上的js代碼無法猜出token內(nèi)容,對比必然失敗,所以可以起到防范作用。

  • Synchronizer Token

和上面的類似,但不使用 cookie,服務(wù)端的數(shù)據(jù)庫中保存一個(gè) session_csrftoken,表單提交后,將表單中的 token 和 session 中的對比,如果不一致則是攻擊。

這個(gè)方法實(shí)施起來并不困難,但它更安全一些,因?yàn)榫W(wǎng)站即使有 xss 攻擊,也不會(huì)有泄露token的問題。

Django使用CsrfViewMiddleware中間件進(jìn)行CSRF校驗(yàn),默認(rèn)開啟防止csrf(跨站點(diǎn)請求偽造)攻擊,在post請求時(shí),沒有攜帶csrf字段,導(dǎo)致校驗(yàn)失敗,報(bào)403錯(cuò)誤。那么我們?nèi)绾谓鉀Q這種403錯(cuò)誤呢?

解決方法

1. 去掉項(xiàng)目的CSRF驗(yàn)證

注釋掉此段代碼即可,但是不推薦此方式,將導(dǎo)致我們的網(wǎng)站完全無法防止CSRF攻擊。

2. 前端表單中增加csrf信息

<form enctype="multipart/form-data" method="post" action="{% url 'add_data' %}">
  {% csrf_token %}
</form>

一定要注意后端使用render而不要使用render_to_response進(jìn)行渲染,這樣前端就會(huì)有csrf_token變量,前端cookies中也會(huì)出現(xiàn)csrftoken數(shù)據(jù),然后在HTML中使用即可。這種方式只限制在form表單中使用,ajax請求不支持。

3. 指定請求去掉CSRF校驗(yàn)

可以只針對指定的路由去掉CSRF校驗(yàn),這也分為兩種情況:

FBV:以函數(shù)實(shí)現(xiàn)路由處理

# 導(dǎo)入,可以使此次請求忽略csrf校驗(yàn)
from django.views.decorators.csrf import csrf_exempt

# 在處理函數(shù)加此裝飾器即可
@csrf_exempt
def add_data(request):
  result = {}
  # TODO

  return HttpResponse(result)

CBV:以類實(shí)現(xiàn)路由處理

from django.views import View
from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator


class IndexView(View):
  @method_decorator(csrf_exempt)
  def dispatch(self, request, *args, **kwargs):
    return super().dispatch(request, *args, **kwargs)

  def get(self, request, *args, **kwargs):
    return render(request, 'home.html')

  def post(self, request, *args, **kwargs):
    data = request.POST.get('data')
    qr_path = gen_qrcode(data)
    return HttpResponse(qr_path)

或者用下面的方式,把裝飾器放在類外面

from django.views import View
from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator


@method_decorator(csrf_exempt, name='dispatch')
class IndexView(View):
  def get(self, request, *args, **kwargs):
    return render(request, 'home.html')

  def post(self, request, *args, **kwargs):
    data = request.POST.get('data')
    qr_path = gen_qrcode(data)
    return HttpResponse(qr_path)

4. 為所有請求添加csrf校驗(yàn)數(shù)據(jù)(推薦)

以上方式都有限制,適用范圍比較窄,我們需要一種可以一勞永逸的方式:讓所有請求都攜帶csrf數(shù)據(jù)。因?yàn)槲覀兪鞘褂肈jango模板渲染前端頁面的,所以一般會(huì)先定義一個(gè)base.html,其他頁面通過{% extends "base.html" %}來引入使用,那么在base.html中添加ajax的全局鉤子,在請求時(shí)添加csrf數(shù)據(jù)即可。

<!DOCTYPE html>
<html>
<head>
  <meta charset="utf-8">
  <title>{% block title %}首頁{% endblock %}</title>
  <link rel="stylesheet" href="{% static 'css/base.css'%}">
  <script src="https://cdn.bootcss.com/jquery/3.4.1/jquery.min.js"></script>
  <script>
    $.ajaxSetup({
      data: {
        csrfmiddlewaretoken: '{{ csrf_token }}'
      }
    })
  </script>
  {% block css %}
  {% endblock %}
</head>
<body>

到此這篇關(guān)于Django CSRF認(rèn)證的幾種解決方案的文章就介紹到這了,更多相關(guān)Django CSRF認(rèn)證 內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • media配置及把用戶頭像從數(shù)據(jù)庫展示到前端的操作方法

    media配置及把用戶頭像從數(shù)據(jù)庫展示到前端的操作方法

    media配置可以讓用戶上傳的所有文件都固定的存放在某一個(gè)指定的文件夾下,接下來通過本文給大家介紹下media配置及把用戶頭像從數(shù)據(jù)庫展示到前端的操作,需要的朋友可以參考下
    2022-09-09
  • numpy.unique()使用方法

    numpy.unique()使用方法

    本文主要介紹了numpy.unique()使用方法,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2023-02-02
  • Python使用re模塊實(shí)現(xiàn)okenizer(表達(dá)式分詞器)

    Python使用re模塊實(shí)現(xiàn)okenizer(表達(dá)式分詞器)

    這篇文章主要介紹了Python使用re模塊實(shí)現(xiàn)okenizer,我們這里講解用正則表達(dá)式構(gòu)建簡單的表達(dá)式分詞器(tokenizer),它能夠?qū)⒈磉_(dá)式字符串從左到右解析為標(biāo)記(tokens)流,需要的朋友可以參考下
    2022-04-04
  • Python內(nèi)置函數(shù)locals和globals對比

    Python內(nèi)置函數(shù)locals和globals對比

    這篇文章主要介紹了Python內(nèi)置函數(shù)locals和globals對比,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友可以參考下
    2020-04-04
  • Python如何寫入Pandas DataFrame到CSV文件

    Python如何寫入Pandas DataFrame到CSV文件

    Pandas是一個(gè)功能強(qiáng)大的Python數(shù)據(jù)分析庫,常用于處理和分析數(shù)據(jù),CSV文件是一種廣泛使用的數(shù)據(jù)交換格式,Pandas通過to_csv方法支持將DataFrame寫入CSV文件,此方法允許用戶指定分隔符、編碼和選擇性寫入特定列等
    2024-09-09
  • 詳解python opencv、scikit-image和PIL圖像處理庫比較

    詳解python opencv、scikit-image和PIL圖像處理庫比較

    這篇文章主要介紹了詳解python opencv、scikit-image和PIL圖像處理庫比較,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2019-12-12
  • Python自定義函數(shù)定義,參數(shù),調(diào)用代碼解析

    Python自定義函數(shù)定義,參數(shù),調(diào)用代碼解析

    這篇文章主要介紹了Python自定義函數(shù)定義,參數(shù),調(diào)用代碼解析,具有一定借鑒價(jià)值,需要的朋友可以參考下。
    2017-12-12
  • python得到電腦的開機(jī)時(shí)間方法

    python得到電腦的開機(jī)時(shí)間方法

    今天小編就為大家分享一篇python得到電腦的開機(jī)時(shí)間方法,具有很好的參考價(jià)值,希望對大家有所幫助。一起跟隨小編過來看看吧
    2018-10-10
  • mac徹底卸載Anaconda簡單步驟

    mac徹底卸載Anaconda簡單步驟

    這篇文章主要給大家介紹了關(guān)于mac徹底卸載Anaconda的相關(guān)資料,Anaconda指的是一個(gè)開源的Python發(fā)行版本,其包含了conda、Python等180多個(gè)科學(xué)包及其依賴項(xiàng),需要的朋友可以參考下
    2023-10-10
  • Python 虛擬空間的使用代碼詳解

    Python 虛擬空間的使用代碼詳解

    這篇文章主要介紹了Python 虛擬空間的使用,本文通過示例代碼給大家介紹的非常詳細(xì),具有一定的參考借鑒價(jià)值,需要的朋友可以參考下
    2019-06-06

最新評論