Django 中CSRF中间件 'django.middleware.csrf.CsrfViewMiddleware',
一、Django中CSRF中间件的工做原理及form表单提交须要添加{% csrf_token %}防止出现403错误
CSRF # 表示django全局发送post请求均须要字符串验证
功能:防止跨站请求伪造的功能
工做原理:客户端访问服务器端,在服务器端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器
端时,服务器端会到客户端查找先前返回的字符串,若是找到则继续,找不到就拒绝。
访问流程:客户端-》URL路由系统 - 》 CSRF -》视图函数
须要在客户端页面的post表单内添加:{% csrf_token %}
全局生效:
中间件 django.middleware.csrf.CsrfViewMiddleware
局部生效:
@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即使settings中没有设置全局中间件。
@csrf_exempt,取消当前函数防跨站请求伪造功能,即使settings中设置了全局中间件。
写法以下:
from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_exempt
def index(request): # 这样表示此函数取消CSRF验证
二、Django中使用ajax作post提交防止出现403错误的方法
如今以ajax发送一个请求,注意get和post的区别,post会被forbidden,get不会,html
url 文件前端
from django.conf.urls import url
from django.contrib import admin
from app01 import views
urlpatterns = [
url(r'^admin/', admin.site.urls),
url(r'^login/', views.login),
url(r'^ajax_send/', views.ajax_send),
]
在views文件中,jquery
def ajax_send(request):
return HttpResponse("ok")
在前端页面,,ajax
{% load staticfiles %}
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
<script src="{% static 'jquery-3.2.1.js' %}"></script>
</head>
<body>
<button>ajax发送</button>
</body>
<script>
$("button").click(function () {
$.ajax({
url:"/ajax_send/",
data:{"user":"gu"},
type:"POST", ----------若是以get请求是不会被forbidden,只有post请求会被forbidden,
success:function (data) {
alert(data)
}
})
})
</script>
</html>
ajax的post请求会报错,forbiddendjango
Forbidden (CSRF token missing or incorrect.): /ajax_send/ [10/Dec/2017 10:58:41] "POST /ajax_send/ HTTP/1.1" 403 2502 Forbidden (CSRF token missing or incorrect.): /ajax_send/ [10/Dec/2017 10:59:22] "POST /ajax_send/ HTTP/1.1" 403 2502 Forbidden (CSRF token missing or incorrect.): /ajax_send/
若是想要避免forbidden,浏览器
方法1:要在ajax发送请求前加上服务器
$.ajaxSetup({
data:{csrfmiddlewaretoken:'{{ csrf_token }}'},
});
注意:{{ csrf_token }} ,是须要渲染的,不能脱离模板,因此是外部文件引入的话,不能执行,
{% load staticfiles %}
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
<script src="{% static 'jquery-3.2.1.js' %}"></script>
</head>
<body>
<button>ajax发送</button>
</body>
<script>
$("button").click(function () {
$.ajaxSetup({
data:{csrfmiddlewaretoken:'{{ csrf_token }}'},---------
});
$.ajax({
url:"/ajax_send/",
data:{"user":"gu"},
type:"POST",
success:function (data) {
alert(data)
}
})
})
</script>
</html>
方法2:在ajax发送请求是加上csrfmiddlewaretoken,的值,cookie
$.ajax({
url:"/ajax_send/",
data:{"user":"gu","csrfmiddlewaretoken":$("[name='csrfmiddlewaretoken']").val()},-----与方法1的功能同样,
但这种方法能够做为一个外部文件引入,
type:"POST",
success:function (data) {
alert(data)
}
})
})
-------session
方法3:修改header,app
在views打印cookie能够获得csrftoken
def index(request):
print("cookie",request.COOKIES)
#cookie {
# 'csrftoken': 'AB9v1MGTbdpSGg3FaGCIiUxrKVR8zKSqgdGFDn5E0ADsJ2ST7N2zgW6KboQ8G31x',
# 'sessionid': 'eexw5p38vky9qo38nf372dz5lj1br6xf'
# }
#cookie 是浏览器给的,
return HttpResponse("index")
须要先下载一个jquery.cookie.js插件文件,而后引用,
<script src="{% static 'jquery.cookie.js' %}"></script>
{% load staticfiles %}
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
{# <script src="{% static 'jquery-3.2.1.js' %}"></script>#}
<script src="{% static 'jquery.cookie.js' %}"></script>
</head>
<body>
{#<form action="/login/" method="post">#}
{# csrf_token 在前端会渲染出一个input标签,是一组键值对,键是csrfmiddlewaretoken,值是随机字符串,会随着下面的input标签一块儿提交,只有这种形式发送post的请求才能被接收,#}
{##}
{# {% csrf_token %}#}
{# <p>用户名:{{ form_obj.user }}</p>#}
{# <p>密 码:{{ form_obj.pwd }}</p>#}
{# <input type="submit">#}
{##}
{#</form>#}
<button>ajax发送</button>
</body>
<script>
{# $("button").click(function () {#}
{##}
{# $.ajaxSetup({#}
{# data:{csrfmiddlewaretoken:'{{ csrf_token }}'},#}
{# });#}
{##}
{# $.ajax({#}
{##}
{# url:"/ajax_send/",#}
{# data:{"user":"gu","csrfmiddlewaretoken":$("[name='csrfmiddlewaretoken']").val()},#}
{# type:"POST",#}
{# success:function (data) {#}
{# alert(data)#}
{# }#}
{##}
{#{)#}
$('button').click(function () {
$.ajax({
url:"/ajax_send/",
type:"post",
headers:{"X_CSRFToken":$.cookie('csrftoken')},---------------
success:function () {
alert(123)
}
})
})
</script>
</html>
-----
input 标签的上传文件,
在前端页面
{#发送文件的时候,要加上enctype ,是以块的方式发送文件,#}
<form action="/login/" method="post" enctype="multipart/form-data">
<input type="file" name="fileobj">
</form>
<button>ajax发送</button>
在views文件中,获取文件,保存文件,
def login(request):
if request.method == "POST":
print("post",request.POST.get("fileobj"))
print("post",type(request.POST.get("fileobj")))
print("===",request.FILES)
fileobj = request.FILES.get("fileobj")
#建立一个文件句柄,把文件存起来,
f=open(fileobj.name,'wb')
for i in fileobj.chunks():#按块存
f.write(i)
相关文章
- 1. Django 中间件 csrf
- 2. Django(六)Session、CSRF、中间件
- 3. Django中间件与csrf
- 4. Django :中间 件与csrf
- 5. Django中间件以及csrf
- 6. csrf中间件
- 7. Django——中间件
- 8. Django-中间件 Django的中间件
- 9. Django 中间件
- 10. django中间件
- 更多相关文章...
- • Java 中操作 R - R 语言教程
- • Spring中Bean的作用域 - Spring教程
- • SpringBoot中properties文件不能自动提示解决方法
- • Scala 中文乱码解决
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. Django 中间件 csrf
- 2. Django(六)Session、CSRF、中间件
- 3. Django中间件与csrf
- 4. Django :中间 件与csrf
- 5. Django中间件以及csrf
- 6. csrf中间件
- 7. Django——中间件
- 8. Django-中间件 Django的中间件
- 9. Django 中间件
- 10. django中间件