用ajax提交数据到后台:

{#<!DOCTYPE html>#}

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

    <script src="/static/jquery-3.2.1.min.js"></script>

    <style>

        .sp{

            color: red;

        }

    </style>

</head>

<body>

<p>姓名:<input type="text"></p>

<p>密码:<input type="password"></p>

<p>

    <button class="sub">提交</button><span class="sp"></span>

</p>

<script>

    function foo() {

            $(".sp").html("");

        }

    $(".sub").click(function () {

        $.ajax({

            url: "/demo_ajax/",

            type: "POST",

            data: {

                username: $(":text").val(),

                password: $(":password").val()

            },

            success: function (data) {

                var data = JSON.parse(data);

                if (!data["flag"]){

                    $(".sp").html("用户名或密码错误"),

                    setTimeout(foo,3000)

                }

            }

        })

    })

</script>

</body>

</html>

 前端采取这种方式提交会报forbidden的错误是因为没有加csrf_token,可是这个不是采用form表单的方式提交的:

怎么解决这种问题呢?一般来说解决这种问题的办法有三种,下边就说一下这三种方式都怎么用:

方式一:

在提交ajax请求的时候给他事先设置一个值:

function foo() {

            $(".sp").html("");

        }

    $(".sub").click(function () {

#######################################

        $.ajaxSetup({

            data: {csrfmiddlewaretoken: '{{ csrf_token }}'}

        });

#######################################

        $.ajax({

            url: "/demo_ajax/",

            type: "POST",

            data: {

                username: $(":text").val(),

                password: $(":password").val()

            },

            success: function (data) {

                var data = JSON.parse(data);

                if (!data["flag"]){

                    $(".sp").html("用户名或密码错误"),

                    setTimeout(foo,3000)

                }

            }

        })

    })

方式二:

body部分:

<form action="">

{% csrf_token %}

<p>姓名:<input type="text"></p>

<p>密码:<input type="password"></p>

</form>

<p>

    <button class="sub">提交</button><span class="sp"></span>

</p>

button要写在外边,否则会默认以get提交

----------------------------------------------------------------------------------------

这里是js代码:

    function foo() {

        $(".sp").html("");

    }

    $(".sub").click(function () {

        $.ajax({

            url: "/demo_ajax/",

            type: "POST",

            data: {

                username: $(":text").val(),

                password: $(":password").val(),

                csrfmiddlewaretoken:$("[name='csrfmiddlewaretoken']").val(),

            },

            success: function (data) {

                var data = JSON.parse(data);

                if (!data["flag"]){

                    $(".sp").html("用户名或密码错误"),

                    setTimeout(foo,3000)

                }

            }

        })

    })

方式三:

        function foo() {

        $(".sp").html("");

    }

    $(".sub").click(function () {

        $.ajax({

            url: "/demo_ajax/",

            type: "POST",

            headers:{"X-CSRFToken":$.cookie('csrftoken')},

            data: {

                username: $(":text").val(),

                password: $(":password").val()

            },

            success: function (data) {

                var data = JSON.parse(data);

                if (!data["flag"]){

                    $(".sp").html("用户名或密码错误"),

                    setTimeout(foo,3000)

                }

            }

        })

    })

方式三可以在form表单提交,也可以不在form表单中提交:

ajax跨站请求伪造的更多相关文章

  1. 跨站请求伪造 | ajax

    一.简介 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成.而对于django中设置防跨站请求伪造功 ...

  2. ajax向Django前后端提交请求和CSRF跨站请求伪造

    1.ajax登录示例 urls.py from django.conf.urls import url from django.contrib import admin from app01 impo ...

  3. python 全栈开发,Day87(ajax登录示例,CSRF跨站请求伪造,Django的中间件,自定义分页)

    一.ajax登录示例 新建项目login_ajax 修改urls.py,增加路径 from app01 import views urlpatterns = [ path('admin/', admi ...

  4. (22)Ajax的基本使用(实现登录功能和局部刷新以及防止跨站请求伪造攻击)

    Ajax的作用 前后端分离的项目,需要交互,就要通过Ajax来完成交互 AJAX(Asynchronous Javascript And XML)翻译成中文就是“异步Javascript和XML”.即 ...

  5. Django框架 之 基于Ajax中csrf跨站请求伪造

    Django框架 之 基于Ajax中csrf跨站请求伪造 ajax中csrf跨站请求伪造 方式一 1 2 3 $.ajaxSetup({     data: {csrfmiddlewaretoken: ...

  6. Web安全相关(二):跨站请求伪造(CSRF/XSRF)

    简介 CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对 ...

  7. 关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造)

    我们常说的网络安全其实应该包括以下三方面的安全: 1.机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马. 2.完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子 ...

  8. xss(跨站脚本攻击),crsf(跨站请求伪造),xssf

    我们常说的网络安全其实应该包括以下三方面的安全: 1.机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马. 2.完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子 ...

  9. Django之CSRF 跨站请求伪造

    一.简介 1.点我了解什么是跨站请求伪造 2.django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成.而对 ...

随机推荐

  1. SpringBoot ( 七 ) :springboot + mybatis 多数据源最简解决方案

    说起多数据源,一般都来解决那些问题呢,主从模式或者业务比较复杂需要连接不同的分库来支持业务.我们项目是后者的模式,网上找了很多,大都是根据jpa来做多数据源解决方案,要不就是老的spring多数据源解 ...

  2. Java Web Session设置

    一.前言 在做 java web项目时,我们很多时候都要用到 Session,那么我就简单的写一下 Session 的写法. 二.代码实现 Servlet Session 的设置 package co ...

  3. MySQL学习(二)复制

        复制解决的问题是保持多个服务器之间的数据的一致性,就如同通过复制保持两个文件的一致性一样,只不过MySQL的复制要相对要复杂一些,其基本过程如下:     1)在主库上将数据更改记录到二进制日 ...

  4. rabbitmq配置镜像模式

    学习是spring cloud的时候用到了rabbitmq,在实际项目中也用到了,镜像模式是集群的基础上面配置的,就多了一个数据同步,rabbitmq存储消息用的是cookie,配置之前先同步cook ...

  5. htpasswd 命令详解

    htpasswd参数 -c 创建passwdfile.如果passwdfile 已经存在,那么它会重新写入并删去原有内容. -n 不更新passwordfile,直接显示密码 -m 使用MD5加密(默 ...

  6. Xftp连接阿里云Linux,向Linux上传文件,Windows和Linux文件传输

    我之前是用SecureCRT连接阿里云Linux的,上传文件用的Alt+p快捷键,感觉不是很方便.后来朋友给我推荐了Xshell,感觉确实好用得很多. 传输文件用的是Xftp,今天在向我的个人网站发布 ...

  7. bzoj 3531: [Sdoi2014]旅行

    Description S国有N个城市,编号从1到N.城市间用N-1条双向道路连接,满足从一个城市出发可以到达其它所有城市.每个城市信仰不同的宗教,如飞天面条神教.隐形独角兽教.绝地教都是常见的信仰. ...

  8. linux下制作镜像文件

    第一:制作iso镜像的方法: 把/dev/cdrom目录制作为镜像,名字为/root/rh1.iso 方法1:dd if=/dev/cdrom of=/root/rh1.iso 方法2:#cat /d ...

  9. tee 命令详解

    作用:将数据重定向到文件,另一方面还可以提供一份重定向数据的副本作为后续命令的stdin . 简单的说就是把数据重定向给文件和屏幕上. 注意:存在缓存机制,每1024 字节输出一次, 若从管道接受数据 ...

  10. 豹哥嵌入式讲堂:ARM开发中有用的文件(1)- source文件

    大家好,我是豹哥,猎豹的豹,犀利哥的哥.今天豹哥给大家讲的是嵌入式开发里的source文件种类. 众所周知,嵌入式开发属于偏底层的开发,主要编程语言是C和汇编.所以本文要讲的source文件主要指的就 ...