准备

现有如下模板和视图:

 <!DOCTYPE html>

 <html lang="en">

 <head>

     <meta charset="UTF-8">

     <title>登录</title>

 </head>

 <body>

 <form action="/login/" method="post">

     <p>用户名:<input type="text" name="username"></p>

     <p>密码:<input type="text" name="password"></p>

     <p><input type="submit" value="提交"></p>

     <p style="color: red"> {{ msg }}</p>

 </form>

 </body>

 </html>

login.html

 from django.shortcuts import render,HttpResponse

 def login(request):

     if request.method == 'POST':

         username = request.POST.get('username')

         password = request.POST.get('password')

         print(username, password)

         return HttpResponse('登陆成功')

     else:

         return render(request, 'login.html')

views.py

使用

表单提交

使用上述模板中表单直接进行提交时,会发现会返回403错误如下:

这是因为Django中默认配置了一个拦截CSRF请求的中间件,在settings.py中可配置:

 MIDDLEWARE = [

     'django.middleware.security.SecurityMiddleware',

     'django.contrib.sessions.middleware.SessionMiddleware',

     'django.middleware.common.CommonMiddleware',

     'django.middleware.csrf.CsrfViewMiddleware',  # 此项便是拦截CSRF请求的中间件

     'django.contrib.auth.middleware.AuthenticationMiddleware',

     'django.contrib.messages.middleware.MessageMiddleware',

     'django.middleware.clickjacking.XFrameOptionsMiddleware',

 ]

settings.py

  • 方案一:去除该中间件(不推荐)

    直接注释该行即可。

     MIDDLEWARE = [
    
     'django.middleware.security.SecurityMiddleware',
    
     'django.contrib.sessions.middleware.SessionMiddleware',
    
     'django.middleware.common.CommonMiddleware',
    
     # 'django.middleware.csrf.CsrfViewMiddleware',  # 此项便是拦截CSRF请求的中间件
    
     'django.contrib.auth.middleware.AuthenticationMiddleware',
    
     'django.contrib.messages.middleware.MessageMiddleware',
    
     'django.middleware.clickjacking.XFrameOptionsMiddleware',
    
 ]

    setting.py

    注释之后就可以正常提交请求了。

  • 方案二:表单中添加csrf_token

     <!DOCTYPE html>
    
 <html lang="en">
    
 <head>
    
     <meta charset="UTF-8">
    
     <title>登录</title>
    
 </head>
    
 <body>
    
 <form action="/login/" method="post">
    
     {% csrf_token %}
    
     <p>用户名:<input type="text" name="username"></p>
    
     <p>密码:<input type="text" name="password"></p>
    
     <p><input type="submit" value="提交"></p>
    
     <p style="color: red"> {{ msg }}</p>
    
 </form>
    
 </body>
    
 </html>

    login.html

    在表单中添加上‘{%csrf_token%}’之后,查看网页源代码会发现表单中多了一个隐藏的输入框,如下:

    Django通过这种方式让表单的请求带着token一起发送到服务器去验证。

Ajax请求

修改login.html内容如下:

 <!DOCTYPE html>

 <html lang="en">

 <head>

     <meta charset="UTF-8">

     <title>登录</title>

     <script src="/static/jquery.min.js"></script>

 </head>

 <body>

 <script>

     function login() {

         $.ajax({

             url: "/login/",

             type: "POST",

             data: {"usr": "admin", "pwd": "123"},

             {#headers:{ "X-CSRFtoken":$.cookie("csrftoken")},#}

             success: function (data) {

                 alert(data)

             }

         })

     }

     login()

 </script>

 </body>

 </html>

login.html

访问该页面会发现与表单请求一样被拦截:

  • 方案一:headers中携带csrf_token

     <!DOCTYPE html>
    
 <html lang="en">
    
 <head>
    
     <meta charset="UTF-8">
    
     <title>登录</title>
    
     <script src="/static/jquery.min.js"></script>
    
 </head>
    
 <body>
    
 <script>
    
     function login() {
    
         $.ajax({
    
             url: "/login/",
    
             type: "POST",
    
             data: {"usr": "admin", "pwd": "123"},
    
             headers: {
    
                 "X-CSRFtoken": '{{csrf_token}}'
    
             },
    
             success: function (data) {
    
                 alert(data)
    
             }
    
         })
    
     }
    
     login()
    
 </script>
    
 </body>
    
 </html>

    login.html

  • 方案二:data中携带csrf_token

     <!DOCTYPE html>
    
 <html lang="en">
    
 <head>
    
     <meta charset="UTF-8">
    
     <title>登录</title>
    
     <script src="/static/jquery.min.js"></script>
    
 </head>
    
 <body>
    
 {% csrf_token %}
    
 <script>
    
     function login() {
    
         $.ajax({
    
             url: "/login/",
    
             type: "POST",
    
             data: {"usr": "admin", "pwd": "123", "csrfmiddlewaretoken": '{{csrf_token}}'},
    
             success: function (data) {
    
                 alert(data)
    
             }
    
         })
    
     }

     login()
    
 </script>
    
 </body>
    
 </html>

    login.html

补充

全局添加csrf_token

如果页面中有多个ajax请求的话就可以通过下面方式在所有的ajax中添加headers信息:

$.ajaxSetup({

        beforeSend: function (xhr, settings) {

            xhr.setRequestHeader("X-CSRFtoken", '{{csrf_token}}')

        }

    });

这样就会在提交ajax之前执行这个方法,从而在所有的ajax里都加上这个csrftoken。

仅post提交添加csrf_token

如果想要实现在当get方式的时候不需要提交csrftoken,当post的时候需要,实现这种效果的代码如下:

function csrfSafeMethod(method) {

    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));

}

$.ajaxSetup({

    beforeSend: function (xhr, settings) {

        if (!csrfSafeMethod(settings.type) && !this.crossDomain) {

            xhr.setRequestHeader("X-CSRFToken", '{{ csrf_token }}');

        }

    }

});

上述示例因csrf_token都是通过模板语言取出,所以html页必须由django的render函数渲染过。同理也可通过js取出cookie中csrf_token值,填充到对应位置即可。

指定视图函数不校验csrf

from django.views.decorators.csrf import csrf_exempt

@csrf_exempt

def view_func(request):

    pass

python框架之Django(9)-CSRF的更多相关文章

  1. python框架之django

    python框架之django 本节内容 web框架 mvc和mtv模式 django流程和命令 django URL django views django temple django models ...

  2. 第六篇:web之python框架之django

    python框架之django   python框架之django 本节内容 web框架 mvc和mtv模式 django流程和命令 django URL django views django te ...

  3. Python框架之Django学习

    当前标签: Django   Python框架之Django学习笔记(十四) 尛鱼 2014-10-12 13:55 阅读:173 评论:0     Python框架之Django学习笔记(十三) 尛 ...

  4. Python框架之Django的相册组件

    Python框架之Django的相册组件 恩,没错,又是Django,虽然学习笔记已经结贴,但是学习笔记里都是基础的,Django的东西不管怎么说还是很多的,要学习的东西自然不会仅仅用十几篇博文就能学 ...

  5. Python高级进阶(二)Python框架之Django写图书管理系统(LMS)

    正式写项目准备前的工作 Django是一个Web框架,我们使用它就是因为它能够把前后端解耦合而且能够与数据库建立ORM,这样,一个Python开发工程师只需要干自己开发的事情就可以了,而在使用之前就我 ...

  6. Python自动化之Django的CSRF

    什么CSRF? CSRF, Cross Site Request Forgery, 跨站点伪造请求.举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果 某个用户已经登录到你的网站上了,那么当这个 ...

  7. python框架之Django(11)-中间件

    介绍 在django中,中间件其实就是一个类,在一个请求到来和这个请求结束之前,django会根据自己的规则在合适的时机执行中间件中相应的方法. 在django项目的settings模块中,有一个 M ...

  8. Python框架之Django学习笔记(十一)

    话说上次说到数据库的基本访问,而数据库我们主要进行的操作就是CRUD,也即是做计算处理时的增加(Create).读取(Retrieve)(重新得到数据).更新(Update)和删除(Delete),俗 ...

  9. Python框架之Django学习笔记(十二)

    Django站点管理 十一转眼结束,说好的充电没能顺利开展,反而悠闲的看了电视剧以及去影院看了新上映的<心花路放>.<亲爱的>以及<黄金时代>,说好的劳逸结合现在回 ...

随机推荐

  1. Redis 的事务到底是不是原子性的

    ACID 中关于原子性的定义: 原子性:一个事务(transaction)中的所有操作,要么全部完成,要么全部不完成,不会结束在中间某个环节.事务在执行过程中发生错误,会被恢复(Rollback)到事 ...

  2. Python基础教程 - Tdcqma

      1.1 普通字符串 1.21 错误与异常 1.41 XXXXXX 1.61 XXXXXX 1.81 XXXXXX 1.101 XXXXXX 1.2 转义字符串 1.22 装饰器         1 ...

  3. Activiti 工作流变量的修改方法

    修改方法: //此方法的更新会同时更新 ru_ 和 hi_的数据 @Override public Map<String, Object> updateProcessFormValue(S ...

  4. redis 集群搭建碰到的问题

    make PREFIX=/usr/local/redis install把编译好的redis 安装到指定目录下. redis.conf文件从源码目录拷贝到/usr/local/redis(安装目录)下 ...

  5. ATR的计算

    TR=∣最高价-最低价∣和∣最高价-昨收∣和∣昨收-最低价∣的最大值 TR = max(high-low, abs(last-high), abs(last-low)) ATR = MA(TR, N) ...

  6. GoLang之错误处理

    错误处理 error Go语言引入了一个错误处理的标准模式,即error接口,该接口定义如下: type error interface { Error() string } 对于大多数函数,如果要返 ...

  7. 用google map实现周边搜索功能

    项目要实现根据经纬度获取附近的建筑,由于项目在海外运营,谷歌地图首当其冲. 首先说明的是,该功能需要在服务端实现,也就是安卓的SDK不适用. api文档地址: https://developers.g ...

  8. 新唐MCU常用的工具软件

    ICP   在电路编程  需要NULINK ISP   在系统编程,可通过串口或USB PINVIEW 可以显示管脚目前的状态.提供keil下或者单独运行两种模式.Keil下进入debug模式后,点击 ...

  9. Spring data jpa JavassistLazyInitializer 不仅是Json序列化问题.以及解决办法

    最近偷点时间更新一下框架,使用SpringBoot2.0 整套一起更新一下,发现些小问题 Spring data jpa getOne 返回的是代理对象,延迟加载的,ResponseBody成Json ...

  10. 19款Windows实用软件推荐,满满的干货,总有一款是你必备的

    https://post.smzdm.com/p/745799/ 追加修改(2018-08-20 12:28:23):一些追加内容: 很多人都在吐槽为什么推荐Clover,这里我说明一下,就我了解到的 ...