CSRF原理

第一次获取页面的时候浏览器返回一个随机字符串,之后提交数据的时候需要把到这个字符串去提交,不然会报错
返回的时候还会把这个字符串放到cookie里面,
使用form提交时候:
{% csrf_token %}
b. 无CSRF时存在隐患

用户可以从其他网站提交表单到当前网站

c. Form提交(CSRF)

    <form action="/login/" method="POST">

        {% csrf_token %}

        {{ csrf_token }}

    <div><input type="text" name="username" placeholder="用户名"/> </div>

    <div><input type="password" name="pwd" placeholder="请输入密码"/> </div>

    <div><input type="checkbox" name="check" value=""/> 一周之内免登陆</div>

    <div><input type="submit" value="提交"/> </div>

    <div><input  id="btn1" type="button" value="提交1"/> </div>

    </form>

d. Ajax提交(CSRF)

  <script src="/static/jquery.js"></script>

     <script src="/static/jquery.cookie.js"></script>

 <script>

         $(function(){

             $.ajaxSetup({

                 beforeSend: function(xhr,settings){

                     xhr.setRequestHeader('X-CSRFtoken', $.cookie('csrftoken'));

                 }

             });

             $('#btn1').click(function () {

                 console.log($.cookie('csrftoken'));

                 $.ajax({

                     url: '/login/',

                     type:"GET",

                     data: {'user': 'root', 'pwd': '123'},

                     // headers: {'X-CSRFtoken': $.cookie('csrftoken')},

                     success:function(arg){

                     }

                 })

             });

         })

     </script>

CSRF请求头 X-CSRFToken
e.个别页面需要csrf验证的解决方法
django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。
全局:
  中间件 django.middleware.csrf.CsrfViewMiddleware
局部:
@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
@csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。
注:from django.views.decorators.csrf import csrf_exempt,csrf_protect
ajax在setup里面加
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});

完整代码:

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

<div style="width: 300px; margin: 100px auto;background-color: dodgerblue">

    <form action="/login/" method="POST">

        {% csrf_token %}

        {{ csrf_token }}

    <div><input type="text" name="username" placeholder="用户名"/> </div>

    <div><input type="password" name="pwd" placeholder="请输入密码"/> </div>

    <div><input type="checkbox" name="check" value="1"/> 一周之内免登陆</div>

    <div><input type="submit" value="提交"/> </div>

    <div><input  id="btn1" type="button" value="提交1"/> </div>

    </form>

</div>

    <script src="/static/jquery.js"></script>

    <script src="/static/jquery.cookie.js"></script>

<script>

        $(function(){

            $.ajaxSetup({

                beforeSend: function(xhr,settings){

                    xhr.setRequestHeader('X-CSRFtoken', $.cookie('csrftoken'));

                }

            });

            $('#btn1').click(function () {

                console.log($.cookie('csrftoken'));

                $.ajax({

                    url: '/login/',

                    type:"GET",

                    data: {'user': 'root', 'pwd': '123'},

                    // headers: {'X-CSRFtoken': $.cookie('csrftoken')},

                    success:function(arg){

                    }

                })

            });

        })

    </script>

</body>

</html>

  

CSRF相关的更多相关文章

  1. Django --- csrf相关,auth相关

    目录 1.csrf相关 1.跨站请求伪造 2.跨站请求伪造问题解决 3.crsf中间件 4.csrf装饰FBV的装饰器 5.csrf装饰CBV的装饰器 6.django settings源码刨析 2. ...

  2. csrf跨站请求伪造、csrf相关装饰器、auth认证模块、基于django中间件设计项目功能

    目录 csrf跨站请求网站 什么是csrf跨站请求网站 经典例子-钓鱼网站 模拟 如何避免这种现象(预防) 如何在django中解决这个问题 form表单 ajax csrf相关装饰器 FBV CBV ...

  3. Django中的csrf相关装饰器

    切记:  这俩个装饰器不能直接加在类中函数的上方 (CBV方式) csrf_exempt除了,csrf_protect受保护的   from django.views import Viewfrom ...

  4. csrf跨站请求、相关装饰器、auth模块使用

    昨日内容回顾 django操作cookie和session # 作用:就是保存用户信息,保存一系列数据,还可以做缓存 保留一段时间 # session是基于cookie工作的 1. 数据是保存在服务端 ...

  5. 初探CSRF在ASP.NET Core中的处理方式

    前言 前几天,有个朋友问我关于AntiForgeryToken问题,由于对这一块的理解也并不深入,所以就去研究了一番,梳理了一下. 在梳理之前,还需要简单了解一下背景知识. AntiForgeryTo ...

  6. python 全栈开发,Day87(ajax登录示例,CSRF跨站请求伪造,Django的中间件,自定义分页)

    一.ajax登录示例 新建项目login_ajax 修改urls.py,增加路径 from app01 import views urlpatterns = [ path('admin/', admi ...

  7. Web框架之Django_09 重要组件(Django中间件、csrf跨站请求伪造)

    摘要 Django中间件 csrf跨站请求伪造 一.Django中间件: 什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子.它是一个轻量.低级别的插件系统,用于 ...

  8. Web框架之Django重要组件(Django中间件、csrf跨站请求伪造)

    Web框架之Django_09 重要组件(Django中间件.csrf跨站请求伪造)   摘要 Django中间件 csrf跨站请求伪造 一.Django中间件: 什么是中间件? 官方的说法:中间件是 ...

  9. CSRF与auth模块

    目录 一.模拟实现中间件的编程思想 (一)impotlib模块 (二)实现功能的配置使用 二.跨站请求伪造CSRF (一)由来 (二)form表单的CSRF (三)ajax中的CSRF (1)通过da ...

随机推荐

  1. SSM中前台传数组。后台接受的问题

    当时写得时候,忘记考虑json的jar,做个记录. 第一步:先带入jar <dependency> <groupId>com.fasterxml.jackson.core< ...

  2. CSS3选择器 :read-only选择器 CSS3选择器 :read-write选择器

    CSS3选择器 :read-only选择器 “:read-only”伪类选择器用来指定处于只读状态元素的样式.简单点理解就是,元素中设置了“readonly=’readonly’” 示例演示 通过“: ...

  3. 前端面试题:CSS实现水平垂直居中

    这是一个挺常见的前端面试题,但是没有做过总结.有的时候可能会使用完了,很长一段时间不去使用,会慢慢忘记.所以,温故而知新,还是很有必要的. 一.绝对定位元素的居中实现 这一种工作中用的应该是最多的,兼 ...

  4. Test 3.27 T1 立方体大作战

    Description ​ 一个叫做立方体大作战的游戏风靡整个 Byteotia.这个游戏的规则是相当复杂的,所以我们只介绍他的简单规则:给定玩家一个有 2n 个元素的栈,元素一个叠一个地放置.这些元 ...

  5. 【leetcode】1035. Uncrossed Lines

    题目如下: We write the integers of A and B (in the order they are given) on two separate horizontal line ...

  6. 关于DNS

    一.什么是DNS DNS 是域名系统 (Domain Name System) 的缩写,它是由解析器和域名服务器组成的.域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP ...

  7. Codeforces Round #608 (Div. 2) E - Common Number (二分 思维 树结构)

  8. Magic Line

    Magic Line 玄学过题系列,随机选在所有点左下方的点,然后对其他点斜率排序,取斜率在中间两个点之间 比赛时,左下方点不够随机==,导致没卡过去 #include<bits/stdc++. ...

  9. Win10真正好用之处

    第一步.  关闭无用服务 刚装好Win10的时候,整部电脑响应很慢,有时什么都不做,硬盘灯也能狂闪半天.很明显,这是微软爸爸默认开启的服务未被及时关闭所致. 网上有很多文章指导新手如何关闭系统服务,但 ...

  10. python list,dic,json型字符串转为list,dict,json

    import ast strr='{"1":"A","3":"B"}' dicts= ast.literal_eval( ...