1、Django中CSRF中间件的工作原理及form表单提交需要添加{% csrf_token %}防止出现403错误
CSRF # 表示django全局发送post请求均需要字符串验证
功能:防止跨站请求伪造的功能
工作原理:客户端访问服务器端,在服务器端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器
端时,服务器端会到客户端查找先前返回的字符串,如果找到则继续,找不到就拒绝。
访问流程:客户端-》URL路由系统 - 》 CSRF -》视图函数
需要在客户端页面的post表单内添加:{% csrf_token %}
 全局生效:
  中间件 django.middleware.csrf.CsrfViewMiddleware
 局部生效:
    @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
    @csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。
 写法如下:
 from django.views.decorators.csrf import csrf_exempt,csrf_protect
 @csrf_exempt
 def index(request):  # 这样表示此函数取消CSRF验证

2、Django中使用ajax做post提交防止出现403错误的方法


现在以ajax发送一个请求,注意get和post的区别,post会被forbidden,get不会,




url 文件








from django.conf.urls import url

from django.contrib import admin

from app01 import views

urlpatterns = [

    url(r'^admin/', admin.site.urls),

    url(r'^login/', views.login),

    url(r'^ajax_send/', views.ajax_send),

]








在views文件中,






def ajax_send(request):

    return HttpResponse("ok")






在前端页面,,








{% load staticfiles %}

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

    <script src="{% static 'jquery-3.2.1.js' %}"></script>

</head>

<body>

<button>ajax发送</button>

</body>

<script>

    $("button").click(function () {

        $.ajax({

            url:"/ajax_send/",

            data:{"user":"gu"},

            type:"POST",  ----------如果以get请求是不会被forbidden,只有post请求会被forbidden,

            success:function (data) {

                alert(data)

            }

    })

    })

</script>

</html>








ajax的post请求会报错,forbidden






Forbidden (CSRF token missing or incorrect.): /ajax_send/

[10/Dec/2017 10:58:41] "POST /ajax_send/ HTTP/1.1" 403 2502

Forbidden (CSRF token missing or incorrect.): /ajax_send/

[10/Dec/2017 10:59:22] "POST /ajax_send/ HTTP/1.1" 403 2502

Forbidden (CSRF token missing or incorrect.): /ajax_send/






如果想要避免forbidden,




方法1:要在ajax发送请求前加上




$.ajaxSetup({
    data:{csrfmiddlewaretoken:'{{ csrf_token }}'},
});

注意:{{ csrf_token }} ,是需要渲染的,不能脱离模板,所以是外部文件引入的话,不能执行,








{% load staticfiles %}

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

    <script src="{% static 'jquery-3.2.1.js' %}"></script>

</head>

<body>

<button>ajax发送</button>

</body>

<script>

    $("button").click(function () {

        $.ajaxSetup({

            data:{csrfmiddlewaretoken:'{{ csrf_token }}'},---------

        });

        $.ajax({

            url:"/ajax_send/",

            data:{"user":"gu"},

            type:"POST",

            success:function (data) {

                alert(data)

            }

    })

    })

</script>

</html>












方法2:在ajax发送请求是加上csrfmiddlewaretoken,的值,








        $.ajax({

            url:"/ajax_send/",

            data:{"user":"gu","csrfmiddlewaretoken":$("[name='csrfmiddlewaretoken']").val()},-----与方法1的功能一样,
 但这种方法可以作为一个外部文件引入,

            type:"POST",

            success:function (data) {

                alert(data)

            }

    })

    })
    








-------










 




方法3:修改header,




在views打印cookie可以得到csrftoken








def index(request):

    print("cookie",request.COOKIES)

    #cookie {

    # 'csrftoken': 'AB9v1MGTbdpSGg3FaGCIiUxrKVR8zKSqgdGFDn5E0ADsJ2ST7N2zgW6KboQ8G31x',

    # 'sessionid': 'eexw5p38vky9qo38nf372dz5lj1br6xf'

    # }

    #cookie 是浏览器给的,

    return HttpResponse("index")










需要先下载一个jquery.cookie.js插件文件,然后引用,




<script src="{% static 'jquery.cookie.js' %}"></script>









{% load staticfiles %}

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

{#    <script src="{% static 'jquery-3.2.1.js' %}"></script>#}

    <script src="{% static 'jquery.cookie.js' %}"></script>

</head>

<body>

{#<form action="/login/" method="post">#}

{# csrf_token 在前端会渲染出一个input标签,是一组键值对,键是csrfmiddlewaretoken,值是随机字符串,会随着下面的input标签一起提交,只有这种形式发送post的请求才能被接收,#}

{##}

{#    {% csrf_token %}#}

{#    <p>用户名:{{ form_obj.user }}</p>#}

{#    <p>密  码:{{ form_obj.pwd }}</p>#}

{#    <input type="submit">#}

{##}

{#</form>#}

<button>ajax发送</button>

</body>

<script>

{#    $("button").click(function () {#}

{##}

{#        $.ajaxSetup({#}

{#            data:{csrfmiddlewaretoken:'{{ csrf_token }}'},#}

{#        });#}

{##}

{#        $.ajax({#}

{##}

{#            url:"/ajax_send/",#}

{#            data:{"user":"gu","csrfmiddlewaretoken":$("[name='csrfmiddlewaretoken']").val()},#}

{#            type:"POST",#}

{#            success:function (data) {#}

{#                alert(data)#}

{#            }#}

{##}

{#{)#}

$('button').click(function () {

        $.ajax({

        url:"/ajax_send/",

        type:"post",

        headers:{"X_CSRFToken":$.cookie('csrftoken')},---------------

        success:function () {

            alert(123)

        }

    })

})

</script>

</html>












-----




input 标签的上传文件,




在前端页面








{#发送文件的时候,要加上enctype ,是以块的方式发送文件,#}

<form action="/login/" method="post" enctype="multipart/form-data">

    <input type="file" name="fileobj">

</form>

<button>ajax发送</button>








在views文件中,获取文件,保存文件,












def login(request):

    if request.method == "POST":

        print("post",request.POST.get("fileobj"))

        print("post",type(request.POST.get("fileobj")))

        print("===",request.FILES)

        fileobj = request.FILES.get("fileobj")

        #创建一个文件句柄,把文件存起来,

        f=open(fileobj.name,'wb')

        for i in fileobj.chunks():#按块存

            f.write(i)






 


 
												


											
Django 中CSRF中间件 'django.middleware.csrf.CsrfViewMiddleware',的更多相关文章
	

    
						
  1. Django中的中间件(middleware)
		
    中间件: 在研究中间件的时候我们首先要知道 1 什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子.它是一个轻量.低级别的插件系统,用于在全局范围内改变Djang ...
    
		
    2. 
						
  2. Django 中的中间件
		
    Django 中的中间件 Django  中间件 中间件介绍 前戏 之前在判断登录的时候使用的是装饰器的功能,通过给视图函数加装饰器来增加判断是否登录的功能.但此方法的缺点是必须给每个需要判断登录的视 ...
    
		
    3. 
								
  3. Django中Ajax提交数据的CSRF问题
		
    错误信息: Forbidden (CSRF token missing or incorrect.): 什么是CSRF: django为用户实现防止跨站请求伪造的功能,通过中间件 django.mid ...
    
		
    4. 
						
  4. [Django高级]理解django中的中间件机制和执行顺序
		
    原文来自 Understanding Django Middlewares, 这篇文章从整体上介绍了django中中间件定义,作用,和怎么样自己写中间件 –orangleliu. 注:middlewa ...
    
		
    5. 
						
  5. django中的中间件
		
    中间件介绍 什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子.它是一个轻量.低级别的插件系统,用于在全局范围内改变Django的输入和输出.每个中间件组件都负责 ...
    
		
    6. 
						
  6. django中的中间件机制和执行顺序
		
    这片文章将讨论下面内容: 1.什么是middleware 2.什么时候使用middleware 3.我们写middleware必须要记住的东西 4.写一些middlewares来理解中间件的工作过程和 ...
    
		
    7. 
						
  7. RBAC在Django中基于中间件的AJAX应用案例
		
    项目文件:   models.py from django.db import models from django.contrib.auth.models import AbstractUser # ...
    
		
    8. 
						
  8. django中给ajax提交加上csrf
		
    代码来自djangoproject网站 在html中的script标签下插入下面代码 在html文档加载时候运行下面代码,并且使用$.ajaxSetup设置ajax每次调用时候传入的数据,$.ajax ...
    
		
    9. 
						
  9. 基于django中settings中间件源码思想,实现功能的插拔式设计
		
    这里我们用到一个非常重要的模块,importlib,利用它可以实现字符串转python代码,再利用反射进行操作,这样就可以实现插拔式设计. 一.我们先做个初级的,把所有文件放到初级思想文件夹下: 1. ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. webm视频转换 其他视频格式转换为webm格式
			
    将其他视频格式转换为webm格式 https://files.cnblogs.com/files/bubuchu/html5videoshipingeshizhuanhuanqi.zip
    
			
    2. 
						
  2. Google Play发布App中遇到"多个APK:版本1未提供给任何设备配置使用。"问题的解决方法
			
    在google play上发布apk,当上传了apk文件,填写了相关的内容信息和介绍图片.图标后,出现“发布应用”始终灰色无法点击,查看原因显示如下问题: 其中支持的设备数量始终显示为0,怀疑是编译出 ...
    
			
    3. 
						
  3. 工作方法-scrum+番茄工作法
			
    1.产品和开发团队近期的工作分析和安排,使用scrum. 产品的工作:通过product backlog来列出 开发团队近期的工作安排:通过sprint backlog来列出,由个人认领,并估算(优先 ...
    
			
    4. 
						
  4. 洛谷 P1057 传球游戏
			
    题目描述 上体育课的时候,小蛮的老师经常带着同学们一起做游戏.这次,老师带着同学们一起做传球游戏. 游戏规则是这样的:n个同学站成一个圆圈,其中的一个同学手里拿着一个球,当老师吹哨子时开始传球,每个同 ...
    
			
    5. 
						
  5. (转)SQL注入攻击简介
			
    如果你是做Javaweb应用开发的,那么必须熟悉那声名狼藉的SQL注入式攻击.去年Sony就遭受了SQL注入攻击,被盗用了一些Sony play station(PS机)用户的数据.在SQL注入攻击里 ...
    
			
    6. 
						
  6. 如何选择Web开发框架
			
    下面先来看看为什么要使用Web开发框架一 使用框架的必然性框架,即framework.其实就是某种应用的半成品,把不同应用程序中有共性的一些东西抽取出来,做成一个半成品程序,这样的半成品就是所谓的程序 ...
    
			
    7. 
						
  7. Netbackup8.0以上版本,服务端生成证书,客户端获取、更新证书方式(整理中)
			
    创建重发令牌 如果非主控主机已在主服务器上注册但其基于主机ID的证书不再有效,则可以重新颁发基于主机ID的证书.例如,证书在过期,被撤销或丢失时无效. 重发令牌是一种可用于重新颁发证书的令牌.它是一种 ...
    
			
    8. 
						
  8. 2406: C语言习题 求n阶勒让德多项式
			
    2406: C语言习题 求n阶勒让德多项式 Time Limit: 1 Sec  Memory Limit: 128 MBSubmit: 961  Solved: 570[Submit][Status ...
    
			
    9. 
						
  9. 2018.4.19 远程服务器重装系统之后ssh无法登陆问题
			
    当我们重装云服务器系统的时候输入ssh连接命令(ssh dc2-user@116.85.25.15)出现一下代码 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ ...
    
			
    10. 
						
  10. CPP-STL:vector的内存释放
			
    1. vector容器的内存自增长 与其他容器不同,其内存空间只会增长,不会减小.先来看看"C++ Primer"中怎么说:为了支持快速的随机访问,vector容器的元素以连续方式 ...
    
			
    11.