详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击

 更新时间:2018年10月09日 11:03:57   作者:love_xiaohuihui   我要评论

这篇文章主要介绍了详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

一、在django后台处理

1、将django的setting中的加入django.contrib.messages.middleware.MessageMiddleware,一般新建的django项目中会自带的。

MIDDLEWARE_CLASSES = [
  'django.middleware.security.SecurityMiddleware',
  'django.contrib.sessions.middleware.SessionMiddleware',
  'django.middleware.common.CommonMiddleware',
  'django.middleware.csrf.CsrfViewMiddleware',
  'django.contrib.auth.middleware.AuthenticationMiddleware',
  'django.contrib.auth.middleware.SessionAuthenticationMiddleware', 
  'django.contrib.messages.middleware.MessageMiddleware', 
] 

2、在templete的html页的from中添加{% csrf %},后台重定向语法如下:

return render_to_response(xxx.html', context_instance=RequestContext(request))

二、前端处理

对所有的ajax请求加上以下语句:

$(function () {
  $.ajaxSetup({
    data: {csrfmiddlewaretoken: '{{ csrf_token }}'},
  });
})

这样向后台的请求都会带django生成的那个csrf_token值。中间件csrf模块会截取判断csrf_token值是否一致,如果一致则请求合法。

三、对于ajax的复杂对象,例如[{"id":"001","name":"小明"},{"id":"002","name":"小军"}].,后台post的处理

必须将这种对象转化为json格式传到后台,后台在反序列化即可。(不要用ajax的其他序列化格式,其深度序列化后,django后台解析比较困难)

contentType不需要指定utf-8,否则post解析出错

四、csrf攻击与预防

csrf利用session和cookie的时效性进行攻击。他会获取请求的cookie,在session时效内进行请求。因此对于重要信息,重要功能进行单次请求处理。即请求一次失效。

例如:请求头中加入验证token信息,用完即失效。django的中间件csrf_token就是此原理防止的。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。

相关文章

  • 浅谈Pandas中map, applymap and apply的区别

    浅谈Pandas中map, applymap and apply的区别

    下面小编就为大家分享一篇浅谈Pandas中map, applymap and apply的区别,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2018-04-04
  • 深入讲解Python中面向对象编程的相关知识

    深入讲解Python中面向对象编程的相关知识

    这篇文章主要介绍了深入讲解Python中面向对象编程的相关知识,是Python入门学习中的基础知识,需要的朋友可以参考下
    2015-05-05
  • python判断字符串是否是json格式方法分享

    python判断字符串是否是json格式方法分享

    这篇文章主要介绍了python判断字符串是否是json格式方法分享,具有一定参考价值,需要的朋友可以了解下。
    2017-11-11
  • Python实现数据库编程方法详解

    Python实现数据库编程方法详解

    这篇文章主要介绍了Python实现数据库编程方法,较为详细的总结了Python数据库编程涉及的各种常用技巧与相关组件,需要的朋友可以参考下
    2015-06-06
  • Python中urllib2模块的8个使用细节分享

    Python中urllib2模块的8个使用细节分享

    这篇文章主要介绍了Python中urllib2模块的8个使用细节分享,本文讲解了Proxy设置、Timeout设置、加入特定Header、Redirect、Cookie、PUT和DELETE方法等内容,需要的朋友可以参考下
    2015-01-01
  • Python实现的多线程http压力测试代码

    Python实现的多线程http压力测试代码

    这篇文章主要介绍了Python实现的多线程http压力测试代码,结合实例形式分析了Python多线程操作的相关实现技巧,需要的朋友可以参考下
    2017-02-02
  • Python自动化构建工具scons使用入门笔记

    Python自动化构建工具scons使用入门笔记

    这篇文章主要介绍了Python自动化构建工具scons使用入门笔记,本文讲解了安装scons、scons常用命令、scons使用示例等内容,需要的朋友可以参考下
    2015-03-03
  • Python多线程原理与用法详解

    Python多线程原理与用法详解

    这篇文章主要介绍了Python多线程原理与用法,简单描述了多线程的概念、原理并结合实例形式分析了Python多线程创建、启动、各种锁机制、队列及相关函数使用技巧,需要的朋友可以参考下
    2018-08-08
  • 使用python Django做网页

    使用python Django做网页

    python Django网页的四个步骤,很简单的图文学习。学习python Django做网页的第一步。
    2013-11-11
  • Python字符串替换实例分析

    Python字符串替换实例分析

    这篇文章主要介绍了Python字符串替换的方法,实例对比分析了单个字符替换与字符串替换的相关技巧,非常简单实用,需要的朋友可以参考下
    2015-05-05

最新评论