Django CSRF認(rèn)證的幾種解決方案
什么是CSRF
瀏覽器在發(fā)送請求的時(shí)候,會自動帶上當(dāng)前域名對應(yīng)的cookie內(nèi)容����,發(fā)送給服務(wù)端����,不管這個(gè)請求是來源A網(wǎng)站還是其它網(wǎng)站,只要請求的是A網(wǎng)站的鏈接����,就會帶上A網(wǎng)站的cookie。瀏覽器的同源策略并不能阻止CSRF攻擊����,因?yàn)闉g覽器不會停止js發(fā)送請求到服務(wù)端,只是在必要的時(shí)候攔截了響應(yīng)的內(nèi)容�?���;蛘哒f瀏覽器收到響應(yīng)之前它不知道該不該拒絕����。
攻擊過程
用戶登陸A網(wǎng)站后,攻擊者自己開發(fā)一個(gè)B網(wǎng)站����,這個(gè)網(wǎng)站會通過js請求A網(wǎng)站,比如用戶點(diǎn)擊了某個(gè)按鈕����,就觸發(fā)了js的執(zhí)行。
防止攻擊
攻擊者是利用cookie隨著http請求發(fā)送的特性來攻擊����。但攻擊者不知道 cookie里面是什么。
Django中是在表單中加一個(gè)隱藏的 csrfmiddlewaretoken�����,在提交表單的時(shí)候����,會有 cookie 中的內(nèi)容做比對����,一致則認(rèn)為正常�����,不一致則認(rèn)為是攻擊����。由于每個(gè)用戶的 token 不一樣,B網(wǎng)站上的js代碼無法猜出token內(nèi)容�����,對比必然失敗�����,所以可以起到防范作用����。
和上面的類似�,但不使用 cookie,服務(wù)端的數(shù)據(jù)庫中保存一個(gè) session_csrftoken����,表單提交后�����,將表單中的 token 和 session 中的對比�����,如果不一致則是攻擊����。
這個(gè)方法實(shí)施起來并不困難�����,但它更安全一些�����,因?yàn)榫W(wǎng)站即使有 xss 攻擊�,也不會有泄露token的問題。
Django使用CsrfViewMiddleware中間件進(jìn)行CSRF校驗(yàn)�����,默認(rèn)開啟防止csrf(跨站點(diǎn)請求偽造)攻擊,在post請求時(shí)�����,沒有攜帶csrf字段�����,導(dǎo)致校驗(yàn)失敗�����,報(bào)403錯(cuò)誤�。那么我們?nèi)绾谓鉀Q這種403錯(cuò)誤呢?
解決方法
1. 去掉項(xiàng)目的CSRF驗(yàn)證
注釋掉此段代碼即可����,但是不推薦此方式,將導(dǎo)致我們的網(wǎng)站完全無法防止CSRF攻擊�。
2. 前端表單中增加csrf信息
<form enctype="multipart/form-data" method="post" action="{% url 'add_data' %}">
{% csrf_token %}
</form>
一定要注意后端使用render而不要使用render_to_response進(jìn)行渲染����,這樣前端就會有csrf_token變量,前端cookies中也會出現(xiàn)csrftoken數(shù)據(jù)����,然后在HTML中使用即可����。這種方式只限制在form表單中使用����,ajax請求不支持。
3. 指定請求去掉CSRF校驗(yàn)
可以只針對指定的路由去掉CSRF校驗(yàn)�����,這也分為兩種情況:
FBV:以函數(shù)實(shí)現(xiàn)路由處理
# 導(dǎo)入,可以使此次請求忽略csrf校驗(yàn)
from django.views.decorators.csrf import csrf_exempt
# 在處理函數(shù)加此裝飾器即可
@csrf_exempt
def add_data(request):
result = {}
# TODO
return HttpResponse(result)
CBV:以類實(shí)現(xiàn)路由處理
from django.views import View
from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator
class IndexView(View):
@method_decorator(csrf_exempt)
def dispatch(self, request, *args, **kwargs):
return super().dispatch(request, *args, **kwargs)
def get(self, request, *args, **kwargs):
return render(request, 'home.html')
def post(self, request, *args, **kwargs):
data = request.POST.get('data')
qr_path = gen_qrcode(data)
return HttpResponse(qr_path)
或者用下面的方式�,把裝飾器放在類外面
from django.views import View
from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator
@method_decorator(csrf_exempt, name='dispatch')
class IndexView(View):
def get(self, request, *args, **kwargs):
return render(request, 'home.html')
def post(self, request, *args, **kwargs):
data = request.POST.get('data')
qr_path = gen_qrcode(data)
return HttpResponse(qr_path)
4. 為所有請求添加csrf校驗(yàn)數(shù)據(jù)(推薦)
以上方式都有限制,適用范圍比較窄�����,我們需要一種可以一勞永逸的方式:讓所有請求都攜帶csrf數(shù)據(jù)�����。因?yàn)槲覀兪鞘褂肈jango模板渲染前端頁面的����,所以一般會先定義一個(gè)base.html����,其他頁面通過{% extends "base.html" %}來引入使用����,那么在base.html中添加ajax的全局鉤子,在請求時(shí)添加csrf數(shù)據(jù)即可�����。
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>{% block title %}首頁{% endblock %}</title>
<link rel="stylesheet" href="{% static 'css/base.css'%}">
<script src="https://cdn.bootcss.com/jquery/3.4.1/jquery.min.js"></script>
<script>
$.ajaxSetup({
data: {
csrfmiddlewaretoken: '{{ csrf_token }}'
}
})
</script>
{% block css %}
{% endblock %}
</head>
<body>
到此這篇關(guān)于Django CSRF認(rèn)證的幾種解決方案的文章就介紹到這了,更多相關(guān)Django CSRF認(rèn)證 內(nèi)容請搜索億速云以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持億速云����!
