python Django里CSRF 对应策略详解
CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的×××方式。
我的理解是,比如你访问过招商银行的网站并登陆之后,你的cookie信息暂时不会失效,
这时,hacker通过各种方式诱导你访问他给你提供的网站等链接,让你在同一浏览器访问
hacker给你的网站时,那么他给你提供的网站里面有直接有向招商银行提交转账信息的请求,这时,
这个转账请求会借用你刚刚登陆过招商银行的cookie信息,来使用的你的身份进行合法的转账。
那么为了减少这个情况的发生,在客户端与服务端交互的时候,当客户端浏览器第一次访问cookie的时候,服务端会有基于csrf的随机验证字符串生成,然后把这些字符串写到客户端cookie里,同时服务端在session里保存一份,当客户端浏览器再次发来post请求的时候,服务端会验证cookie里csrf_token(就是生成的这个随机字符串)。
Django里自动帮我们封装了这个功能,在Django项目里的setting.py文件里会默认开启 'django.middleware.csrf.CsrfViewMiddleware'
,这一项功能。
所以我们html文件里有post请求的时候要在from表单里添加{% csrf_token %}这一项
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <div> <form action="/app01/login/" method="post"> {% csrf_token %} <input type="text" name="username"> <input type="password" name="pwd"> <input type="submit" value="提交"> </form> </div> </body> </html>
但是有的时候是不需要 csrf_token 认证的,有的时候是需要的,但是Django项目里的setting.py文件里设置了 'django.middleware.csrf.CsrfViewMiddleware'
之后就是全局生效了;这就 不是我们所需要的了。
那么如果有的函数不需要csrf_token 认证的话,那么就需要用到@csrf_exempt装饰器来设置单个函数不用csrf_token 认证
from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_exempt
是不需要设置csrf_token认证的
@csrf_protect
是 需要设置csrf_token 认证的
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。
相关文章
Python中的 ansible 动态Inventory 脚本
这篇文章主要介绍了Python中的 ansible 动态Inventory 脚本,本章节通过实例代码从mysql数据作为数据源生成动态ansible主机为入口介绍的非常详细,感兴趣的朋友跟随小编一起看看吧2020-01-01pytorch中with torch.no_grad():的用法实例
最近在看别人写的代码,遇到经常使用with torch.no_grad(),所以下面这篇文章主要给大家介绍了关于pytorch中with torch.no_grad():用法的相关资料,需要的朋友可以参考下2022-03-03通过Python OpenGL的point sprite技术绘制雪花
通常,点精灵(point sprite)技术被用于描述大量粒子在屏幕上的运动,自然也可以用于绘制雪花。本文将通过Python OpenGL绘制雪花,感兴趣的可以动手试一试2022-02-02
最新评论