跨站请求伪造(scrf)
听说过钓鱼网站吗?
就类似于你搭建了一个跟银行一模一样的web页面
用户在你的网站转账的时候输入用户名 密码 对方账户
银行里面的钱确实少了 但是发现收款人变了
原理:
你写的form表单中 用户的用户名 密码都会真实的提交给银行后台 但是收款人的账户却不是用户填的 你暴露给用户的是一个没有name属性的input框 你自己提前写好了一个隐藏的带有name和value的input框
解决钓鱼网站的策略:
只要是用户想要提交post请求的页面 我在返回给用户的时候就提前设置好一个随机字符串 当用户提交post请求的时候 我会自动先取查找是否有该随机字符串 如果有 正常提交 如果没有 直接报403
所以!!
那个被我们注释掉的中间件,就是用来校验你有没有这个随机字符串的。
这就是django自带的东西,你可以理解为,这个中间件不允许的前端post请求,都不能通过这一层校验,要怎样让post请求成功呢,就要让他通过校验。
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <script src="https://cdn.bootcss.com/jquery/3.4.1/jquery.min.js"></script> <link href="https://cdn.bootcss.com/twitter-bootstrap/3.3.1/css/bootstrap.min.css" rel="stylesheet"> <script src="https://cdn.bootcss.com/twitter-bootstrap/3.3.1/js/bootstrap.min.js"></script> </head> <body> <h1>我是正儿八经的网站</h1> <form action="" method="post"> {% csrf_token %} <p>username:<input type="text" name="username"></p> <p>target_user:<input type="text" name="target_user"></p> <p>money:<input type="text" name="money"></p> <input type="submit"> </form>
只需要加上 {% csrf_token %} 就可以通过校验了。这是正常form表单提交post请求的时候的做法,还有一种可以提交post的就是 ajax 请求。
ajax的做法
方式一、自己现在页面上写 {% csrf_token %} 获取到随机字符串 然后利用标签查找,然后在ajax发送的数据的 data 中加上这个键值对
data:{'username':'jason','csrfmiddlewaretoken':$('[name="csrfmiddlewaretoken"]').val()},
csrfmiddlewaretoken 这个是要记住的,这个单词
方式二、
data:{'username':'jason','csrfmiddlewaretoken':'{{ csrf_token }}'}
这个是django提供的模板语法,但是在前后端分离的时候就不能用了,所以不推荐。
方式三、导入js,不需要理解这个js代码,这个是从官网上c下来的,只需写一个静态文件,放进去,然后配置静态文件就可以了。建议把这段代码保存在本地。
function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !== '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = jQuery.trim(cookies[i]); // Does this cookie string begin with the name we want? if (cookie.substring(0, name.length + 1) === (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } var csrftoken = getCookie('csrftoken'); function csrfSafeMethod(method) { // these HTTP methods do not require CSRF protection return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method)); } $.ajaxSetup({ beforeSend: function (xhr, settings) { if (!csrfSafeMethod(settings.type) && !this.crossDomain) { xhr.setRequestHeader("X-CSRFToken", csrftoken); } } });
<script src="/static/setup.js"></script> {#导入这一句就可以了#}
推荐这种。
学了这个之后,就不用在注释那个中间件了。
现在又有个需求了,想要让有个视图函数不校验 csrf ,怎么做?
要导入一个模块
from django.views.decorators.csrf import csrf_exempt, csrf_protect
csrf_exempt 是让一个函数绕过校验,不用校验。
现在突然又发神经有个新的需求,在注释了 csrf 中间件之后,想要校验一个函数,怎么做。
csrf_protect 让一个函数被校验。
以上两种都是以装饰器的形式来发挥作用的
@csrf_exempt #装饰了这个装饰器之后,就可以绕过校验了。不用那个随机字符串了 def exem(request): return HttpResponse('exempt') @csrf_protect #装饰了这个装饰器就会被校验了。 def pro(request): return HttpResponse('pro')
以上是 FBV 型的,那么CBV类型的要怎么写呢?
装饰器 csrf_exempt 只有两种装饰的方式 from django.views.decorators.csrf import csrf_exempt, csrf_protect from django.utils.decorators import method_decorator # 第一种 # @method_decorator(csrf_exempt,name='dispatch') class MyCsrf(View): # 第二种 @method_decorator(csrf_exempt) def dispatch(self, request, *args, **kwargs): return super().dispatch(request,*args,**kwargs) def get(self,request): return HttpResponse('hahaha') 除了csrf_exempt之外 所有的其他装饰器 在CBV上面都有三种方式 @method_decorator(csrf_protect,name='post') #第一种 class MyCsrf(View): @method_decorator(csrf_protect)#第二种 def dispatch(self, request, *args, **kwargs): return super().dispatch(request,*args,**kwargs) def get(self,request): return HttpResponse('hahaha') @method_decorator(csrf_protect)#第三种 def post(self,request): return HttpResponse('post')