django如何設(shè)置csrf_token

更新時間：2023年09月19日 09:11:26 作者：scott_zhb

這篇文章主要介紹了django如何設(shè)置csrf_token問題,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教

一、關(guān)于csrf_token

csrf：跨站請求偽造,防止其他人改造，盜取信息，反正就是一種網(wǎng)站的防護措施
服務(wù)器端：設(shè)置隨機的csrf_token,get請求的時候就該設(shè)置好
客戶端：攜帶上相應(yīng)的csrf_token,post請求的時候攜帶上

二、form表單設(shè)置csrf_token

通過模板標簽進行設(shè)置

在這里插入圖片描述

當提交post請求的時候會自動帶上

三、針對某個類視圖設(shè)置csrf_token

from django.views.decorators.csrf import ensure_csrf_cookie
from django.utils.decorators import method_decorator
from django.views import View
class LoginView(View):
    @method_decorator(ensure_csrf_cookie)
    def get(self, request):
        pass
    def post(self, request):
        pass

針對整個項目中所有視圖設(shè)置csrf_token

①自定義中間件,在utils目錄下創(chuàng)建CsrfMiddleware.py，如下圖所示：

在這里插入圖片描述

②注冊中間件,在項目目錄下的settings.py中，如圖所示寫上全路徑

在這里插入圖片描述

四、提交post請求攜帶csrf_token

前面說到，form表單是自動攜帶上的，那么ajax請求是如何攜帶csrf_token的呢？

很簡單，通過jquery獲取，在ajax請求之后附加如下js代碼：

// get cookie using jQuery
  function getCookie(name) {
    let cookieValue = null;
    if (document.cookie && document.cookie !== '') {
      let cookies = document.cookie.split(';');
      for (let i = 0; i < cookies.length; i++) {
        let cookie = jQuery.trim(cookies[i]);
        // Does this cookie string begin with the name we want?
        if (cookie.substring(0, name.length + 1) === (name + '=')) {
          cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
          break;
        }
      }
    }
    return cookieValue;
  }
  function csrfSafeMethod(method) {
    // these HTTP methods do not require CSRF protection
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
  }
  // Setting the token on the AJAX request
  $.ajaxSetup({
    beforeSend: function (xhr, settings) {
      if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
        xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
      }
    }
  });