总结
1.Django CSRF的原理
- CSRF(Cross Site Request Forgery)跨站请求伪造,CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的;
2.CSRF认证
-
在settings文件中的MIDDLEWARE里默认Django启用csrf认证;
-
当页面为form表单提交时,一般都需要在form标签中加上
{% csrf_token %}
,如果第一次表单提交的时候带上了csrf_token
,服务器端就会认为这个是可信任的用户,所以如果第二次提交时form表单去掉csrf_token
,但是浏览器请求时会带上之前表单中的csrf_token
,服务器端默认信任这个csrf_token
; -
如果在settings文件中将csrf的中间件注释,那么form表单提交,将不再需要csrf token认证;
3.CSRF局部禁用
-
为了避免没有csrf token而产生的403的forbidden错误问题,通常使用
django.views.decorators.csrf.csrf_exempt
装饰器来修饰这个处理POST请求的View, 这种方式是CSRF局部禁用; -
局部启用可以使用
csrf_protect
,需要先在settings文件中关闭CsrfViewMiddleware
; -
如果需要禁用Django CSRF功能项目都是启用全局的CSRF中间件,针对局部的View进行禁用;
4.Postman
-
Postman是一种网页调试与发送网页http请求的chrome插件,可以用来很方便的模拟get、post、put、patch、delete、copy等多种方式的请求来调试接口;