关于Django Ajax CSRF 认证

时间 2019-11-06

原文原文链接

CSRF（Cross-site request forgery跨站请求伪造，也被称为“one click attack”或者session riding，一般缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS很是不一样，而且攻击方式几乎相左。XSS利用站点内的信任用户，而CSRF则经过假装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击每每不大流行（所以对其进行防范的资源也至关稀少）和难以防范，因此被认为比XSS更具危险性。html

Django 中自带了防止CSRF攻击的功能，可是一些新手不知道如何使用，给本身编程带来了麻烦。经常会出现下面django csrf token missing or incorrect的错误。ajax

GET 请求不须要 CSRF 认证，POST 请求须要正确认证才能获得正确的返回结果。通常在POST表单中加入 {% csrf_token %}django

 
      < 
      form  
      method 
      = 
      "POST"  
      action 
      = 
      "/post-url/" 
      > 
     
 
           
      {% csrf_token %} 
     
 
            
     
 
           
      < 
      input  
      name 
      = 
      'zqxt'  
      value 
      = 
      "自强学堂学习Django技术" 
      > 
     
 
      </ 
      form 
      > 
     

若是使用Ajax调用的时候，就要麻烦一些。须要注意如下几点：编程

在视图中使用 render （而不要使用 render_to_response）cookie
使用 jQuery 的 ajax 或者 post 以前加入这个 js 代码：http://www.ziqiangxuetang.com/media/django/csrf.jssession

 
      jQuery(document).ajaxSend( 
      function 
      (event, xhr, settings) { 
     
      function  
      getCookie(name) { 
     
      var  
      cookieValue =  
      null 
      ; 
     
      if  
      (document.cookie && document.cookie !=  
      '' 
      ) { 
     
      var  
      cookies = document.cookie.split( 
      ';' 
      ); 
     
      for  
      ( 
      var  
      i = 0; i < cookies.length; i++) { 
     
      var  
      cookie = jQuery.trim(cookies[i]); 
     
      // Does this cookie string begin with the name we want? 
     
      if  
      (cookie.substring(0, name.length + 1) == (name +  
      '=' 
      )) { 
     
      cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); 
     
      break 
      ; 
     
      } 
     
      } 
     
      } 
     
      return  
      cookieValue; 
     
      } 
     
      function  
      sameOrigin(url) { 
     
      // url could be relative or scheme relative or absolute 
     
      var  
      host = document.location.host;  
      // host + port 
     
      var  
      protocol = document.location.protocol; 
     
      var  
      sr_origin =  
      '//'  
      + host; 
     
      var  
      origin = protocol + sr_origin; 
     
      // Allow absolute or scheme relative URLs to same origin 
     
      return  
      (url == origin || url.slice(0, origin.length + 1) == origin +  
      '/' 
      ) || 
     
      (url == sr_origin || url.slice(0, sr_origin.length + 1) == sr_origin +  
      '/' 
      ) || 
     
      // or any other URL that isn't scheme relative or absolute i.e relative. 
     
      !(/^(\/\/|http:|https:).*/.test(url)); 
     
      } 
     
      function  
      safeMethod(method) { 
     
      return  
      (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method)); 
     
      } 
     
      if  
      (!safeMethod(settings.type) && sameOrigin(settings.url)) { 
     
      xhr.setRequestHeader( 
      "X-CSRFToken" 
      , getCookie('csrftoken')); 
     
      } 
     
      });

或者更为优雅简洁的代码（不能写在 .js 中，要直接写在模板文件中）：post

 
      $.ajaxSetup({ 
     
      data: {csrfmiddlewaretoken:  
      '{{ csrf_token }}'  
      }, 
     
      });

这样以后，就能够像原来同样的使用 jQuery.ajax() 和 jQuery.post()了学习

最后，附上一个 Django Ajax CSRF 实例网站