CSRF功能

Day64 Django 启用和禁用CSRF功能免费看

Django CSRF功能介绍、CSRF禁用

09-13侠课岛    基础入门       

后端/后端/Python 由浅入深入门 10     0     306

总结

1.Django CSRF的原理

  • CSRF(Cross Site Request Forgery)跨站请求伪造,CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的;

2.CSRF认证

  • 在settings文件中的MIDDLEWARE里默认Django启用csrf认证;

  • 当页面为form表单提交时,一般都需要在form标签中加上{% csrf_token %},如果第一次表单提交的时候带上了csrf_token ,服务器端就会认为这个是可信任的用户,所以如果第二次提交时form表单去掉csrf_token,但是浏览器请求时会带上之前表单中的csrf_token ,服务器端默认信任这个csrf_token

  • 如果在settings文件中将csrf的中间件注释,那么form表单提交,将不再需要csrf token认证;

3.CSRF局部禁用

  • 为了避免没有csrf token而产生的403的forbidden错误问题,通常使用django.views.decorators.csrf.csrf_exempt装饰器来修饰这个处理POST请求的View, 这种方式是CSRF局部禁用;

  • 局部启用可以使用csrf_protect,需要先在settings文件中关闭CsrfViewMiddleware

  • 如果需要禁用Django CSRF功能项目都是启用全局的CSRF中间件,针对局部的View进行禁用;

4.Postman

  • Postman是一种网页调试与发送网页http请求的chrome插件,可以用来很方便的模拟get、post、put、patch、delete、copy等多种方式的请求来调试接口;

  • 下载地址:https://www.getpostman.com/downloads/

本教程图文或视频等内容版权归侠课岛所有,任何机构、媒体、网站或个人未经本网协议授权不得转载、转贴或以其他方式复制发布或发表。

评价

10

本课评分:
  •     非常好
难易程度:
  •     适中的

内容目录



|
教程
粉丝
主页

签到有礼

已签到2天,连续签到7天即可领取7天全站VIP

  • 1
    +2 金币
  • 2
    +3 金币
  • 3
    +5 金币
  • 6
    +7 金币
  • 5
    +6 金币
  • 4
    暖心福利
    自选分类VIP ×1天
  • 7
    惊喜大礼

    自选分类VIP ×3天 +20金币
  • 持续签到 +8 金币

金币可以用来做什么?