溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

Django 啟用和禁用CSRF功能

發(fā)布時間:2020-08-10 02:30:34 來源:ITPUB博客 閱讀:197 作者:Winter 欄目:編程語言

1.Django CSRF的原理

CSRF(Cross Site Request Forgery)也就是跨站請求偽造,實現(xiàn)的原理是CSRF攻擊者在用戶已經(jīng)登錄目標網(wǎng)站之后,誘使用戶訪問一個攻擊頁面,利用目標網(wǎng)站對用戶的信任,以用戶身份在攻擊頁面對目標網(wǎng)站發(fā)起偽造用戶操作的請求,達到攻擊目的;

2.CSRF認證

  • 在項目的settings文件中有一個配置項MIDDLEWARE,表示默認Django啟用csrf認證; 

'django.middleware.csrf.CsrfViewMiddleware'
  • 當頁面為form表單提交時,一般都需要在form標簽中加上 {% csrf_token %} ,如果第一次表單提交的時候帶上了 csrf_token ,服務(wù)器端就會認為這個是可信任的用戶,所以如果第二次提交時form表單去掉 csrf_token ,但是瀏覽器請求時會帶上之前表單第一次提交時中的 csrf_token ,服務(wù)器端默認信任這個 csrf_token ; 

<form action="{% url 'users:image' %}" method="post" enctype="multipart/form-data">
{#  <input type="file" name="upload" accept="image/gif, image/jpeg, image/png, image/jpg">#}
    <input type="file" name="upload">
    <input type="submit" value="提交">
    {% csrf_token %}
</form>
  • 如果在settings文件中將csrf的中間件注釋,那么form表單提交,將不再需要csrf token認證;

3.CSRF局部禁用

  • 為了避免沒有csrf token而產(chǎn)生的403的forbidden錯誤問題,通常使用 django.views.decorators.csrf.csrf_exempt 裝飾器來修飾這個處理POST請求的View, 這種方式是CSRF局部禁用; 

from django.views.generic import View
from django.utils.decorators import method_decorator
from django.views.decorators.csrf import csrf_exempt
class CSRFTestView(View):
    @method_decorator(csrf_exempt)
    def dispatch(self, request, *args, **kwargs):
        return super().dispatch(request, *args, **kwargs)
    def post(self, request):
        pass
  • 局部啟用可以使用 csrf_protect ,需要先在settings文件注釋 CsrfViewMiddleware ; 

from django.views.generic import View
from django.utils.decorators import method_decorator
from django.views.decorators.csrf import csrf_protect
class CSRFTestView(View):
    @method_decorator(csrf_protect)
    def dispatch(self, request, *args, **kwargs):
        return super().dispatch(request, *args, **kwargs)
    def post(self, request):
        pass
  • 如果需要禁用Django CSRF功能項目都是啟用全局的CSRF中間件,針對局部的View進行禁用;

4.Postman

Postman是一種網(wǎng)頁調(diào)試與發(fā)送網(wǎng)頁http請求的chrome插件,可以用來很方便的模擬get、post、put、patch、delete、copy等多種方式的請求來調(diào)試接口;
postman可用作macOS,Windows和Linux操作系統(tǒng)的本機應(yīng)用程序。Windows系統(tǒng)下安裝postman只需要下載安裝文件,然后運行安裝程序就可以了;

Django 啟用和禁用CSRF功能

Postman的下載地址 : https://www.getpostman.com/downloads/

參考: https://www.9xkd.com/user/plan-view.html?id=1091380484

向AI問一下細節(jié)

免責聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI