跨站请求伪造 | ajax
1、简介css
django为用户实现防止跨站请求伪造的功能,经过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。html
全局:前端
中间件 django.middleware.csrf.CsrfViewMiddlewarepython
局部:jquery
- @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即使settings中没有设置全局中间件。
- @csrf_exempt,取消当前函数防跨站请求伪造功能,即使settings中设置了全局中间件。
注:from django.views.decorators.csrf import csrf_exempt,csrf_protectajax
2、应用django
一、普通表单json
veiw中设置返回值: return render_to_response('Account/Login.html',data,context_instance=RequestContext(request)) 或者 return render(request, 'xxx.html', data) html中设置Token: {% csrf_token %}
若是把type:"GET" 改成type:"POST" 会报一个Forbidden的错后端
解决办法有三种:数组
方式一:
$.ajaxSetup({
data:{csrfmiddlewaretoken:'{{ csrf_token }}'}
});
注意:要放在ajax请求的前面,在发送以前组装一组字符串,在第一步render的时候就发了
因此有局限性:
若是把JS代码放到静态文件中,不会渲染,不会执行{{csrf_token}},只能在HTML页面中使用
方式二:本身组装一组键值对 ( 推荐)
<form> {% csrf_token %} </form> data:{ csrfmiddlewaretoken:$("[name='csrfmiddlewaretoken']").val(), name:$(":text").val(), pwd:$(":password").val() },
方式三:本身设置头信息
<script src="https://cdn.bootcss.com/jquery-cookie/1.4.1/jquery.cookie.js"></script> $.ajax({ url:"/serialize/", type:"POST", headers:{"X-CSRFToken":$.cookie('csrftoken')}, })
二、Ajax
对于传统的form,能够经过表单的方式将token再次发送到服务端,而对于ajax的话,使用以下方式。
1 <!DOCTYPE html> 2 <html lang="en"> 3 <head> 4 <meta charset="UTF-8"> 5 <meta http-equiv="X-UA-Compatible" content="IE=edge"> 6 <meta name="viewport" content="width=device-width, initial-scale=1"> 7 <title>Title</title> 8 </head> 9 <body> 10 11 <a href="/get_OK/">点击</a><span class="error"></span> 12 <hr> 13 <p>姓名<input type="text"></p> 14 <p>密码<input type="password"></p> 15 <p><button class="Ajax_send">Ajax_send</button><span class="login_error"></span></p> 16 17 18 19 20 <script src="https://cdn.bootcss.com/jquery/3.2.1/jquery.js "></script> 21 <script> 22 $(".Ajax_send").click(function () { 23 // ajax请求 24 $.ajax({ 25 url:"/tishi_ajax/", //请求路径 26 type:"GET", //请求方式 27 //吧js对象转成json字符串 28 data:JSON.stringify({ 29 name:$(":text").val(), 30 pwd:$(":password").val() 31 }), // 请求数据 ,是js数据 ?name=yuan&pwd=123 32 contentType:"application/json", //告诉服务器发的是json的格式 33 success:function (data) { 34 var data=JSON.parse(data); //js中的反序列化 35 console.log(data); 36 console.log(typeof data); 37 // $(".error").html(data) 38 39 if(!data["flag"]){ //为False的状况 40 $(".login_error").html("用户名或者密码错误") 41 } 42 } 43 }) 44 }) 45 </script> 46 </body> 47 </html>
{% load staticfiles %} <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <script src="{% static 'JS/jquery-3.1.1.js' %}"></script> </head> <body> <button class="send_Ajax">send_Ajax</button> <script> //$.ajax的两种使用方式: //$.ajax(settings); //$.ajax(url,[settings]); $(".send_Ajax").click(function(){ $.ajax({ url:"/handle_Ajax/", type:"POST", data:{username:"Yuan",password:123}, //==================成功的时候要执行的代码================== success:function(data){ alert(data) }, //=================== error的时候要执行的代码============ error: function (jqXHR, textStatus, err) { // jqXHR: jQuery加强的xhr // textStatus: 请求完成状态 // err: 底层经过throw抛出的异常对象,值与错误类型有关 console.log(arguments); }, //=================== complete(不管成功仍是失败,都要执行的代码)============ complete: function (jqXHR, textStatus) { // jqXHR: jQuery加强的xhr // textStatus: 请求完成状态 success | error console.log('statusCode: %d, statusText: %s', jqXHR.status, jqXHR.statusText); console.log('textStatus: %s', textStatus); }, //=================== statusCode============ statusCode: { '403': function (jqXHR, textStatus, err) { console.log(arguments); //注意:后端模拟errror方式:HttpResponse.status_code=500 }, '400': function () { } } }) }) </script> </body> </html>
1 def tishi_ajax(request): 2 3 username=request.GET.get("name") 4 password=request.GET.get("pwd") 5 6 response={"flag":False} 7 if username=="yuan" and password=="123": 8 response["flag"]=True 9 import json 10 import time 11 12 return HttpResponse(json.dumps(response)) 13 14 15 def tishi(request): 16 return render(request,"tishi.html")
ajax参数
######################------------data---------################
data: 当前ajax请求要携带的数据,是一个json的object对象,ajax方法就会默认地把它编码成某种格式
(urlencoded:?a=1&b=2)发送给服务端;此外,ajax默认以get方式发送请求。
function testData() {
$.ajax("/test",{ //此时的data是一个json形式的对象
data:{
a:1,
b:2
}
}); //?a=1&b=2
######################------------processData---------################
processData:声明当前的data数据是否进行转码或预处理,默认为true,即预处理;if为false,
那么对data:{a:1,b:2}会调用json对象的toString()方法,即{a:1,b:2}.toString()
,最后获得一个[object,Object]形式的结果。
######################------------contentType---------################
contentType:默认值: "application/x-www-form-urlencoded"。发送信息至服务器时内容编码类型。
用来指明当前请求的数据编码格式;urlencoded:?a=1&b=2;若是想以其余方式提交数据,
好比contentType:"application/json",即向服务器发送一个json字符串:
$.ajax("/ajax_get",{
data:JSON.stringify({
a:22,
b:33
}),
contentType:"application/json",
type:"POST",
}); //{a: 22, b: 33}
注意:contentType:"application/json"一旦设定,data必须是json字符串,不能是json对象
from django.core.handlers.wsgi import WSGIRequest
######################------------traditional---------################ traditional:通常是咱们的data数据有数组时会用到 :data:{a:22,b:33,c:["x","y"]}, traditional为false会对数据进行深层次迭代;
/*
dataType: 预期服务器返回的数据类型,服务器端返回的数据会根据这个值解析后,传递给回调函数。
默认不须要显性指定这个属性,ajax会根据服务器返回的content Type来进行转换;
好比咱们的服务器响应的content Type为json格式,这时ajax方法就会对响应的内容
进行一个json格式的转换,if转换成功,咱们在success的回调函数里就会获得一个json格式
的对象;转换失败就会触发error这个回调函数。若是咱们明确地指定目标类型,就可使用
data Type。
dataType的可用值:html|xml|json|text|script
见下dataType实例
*/
from django.shortcuts import render,HttpResponse
from django.views.decorators.csrf import csrf_exempt
# Create your views here.
import json
def login(request):
return render(request,'Ajax.html')
def ajax_get(request):
l=['alex','little alex']
dic={"name":"alex","pwd":123}
#return HttpResponse(l) #元素直接转成字符串alexlittle alex
#return HttpResponse(dic) #字典的键直接转成字符串namepwd
return HttpResponse(json.dumps(l))
return HttpResponse(json.dumps(dic))# 传到前端的是json字符串,要想使用,须要JSON.parse(data)
//---------------------------------------------------
function testData() {
$.ajax('ajax_get', {
success: function (data) {
console.log(data);
console.log(typeof(data));
//console.log(data.name);
//JSON.parse(data);
//console.log(data.name);
},
//dataType:"json",
}
)}
注解:Response Headers的content Type为text/html,因此返回的是String;但若是咱们想要一个json对象
设定dataType:"json"便可,至关于告诉ajax方法把服务器返回的数据转成json对象发送到前端.结果为object
固然,
return HttpResponse(json.dumps(a),content_type="application/json")
这样就不须要设定dataType:"json"了。
content_type="application/json"和content_type="json"是同样的!
相关文章
- 1. 跨站请求伪造(csrf)
- 2. CSRF跨站请求伪造
- 3. csrf(跨站请求伪造)
- 4. Csrf跨站请求伪造
- 5. 跨站请求伪造
- 6. 跨站请求伪造(CSRF)
- 7. 跨站请求伪造和cookie伪造
- 8. 15跨站请求伪造
- 9. csrf跨站请求伪造
- 10. CSRF 跨站请求伪造
- 更多相关文章...
- • HTTP 请求方法 - HTTP 教程
- • 伪造ICMP请求包进行路由跟踪 - TCP/IP教程
- • PHP Ajax 跨域问题最佳解决方案
- • 使用阿里云OSS+CDN部署前端页面与加速静态资源
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 升级Gradle后报错Gradle‘s dependency cache may be corrupt (this sometimes occurs
- 2. Smarter, Not Harder
- 3. mac-2019-react-native 本地环境搭建(xcode-11.1和android studio3.5.2中Genymotion2.12.1 和VirtualBox-5.2.34 )
- 4. 查看文件中关键字前后几行的内容
- 5. XXE萌新进阶全攻略
- 6. Installation failed due to: ‘Connection refused: connect‘安卓studio端口占用
- 7. zabbix5.0通过agent监控winserve12
- 8. IT行业UI前景、潜力如何?
- 9. Mac Swig 3.0.12 安装
- 10. Windows上FreeRDP-WebConnect是一个开源HTML5代理,它提供对使用RDP的任何Windows服务器和工作站的Web访问
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 跨站请求伪造(csrf)
- 2. CSRF跨站请求伪造
- 3. csrf(跨站请求伪造)
- 4. Csrf跨站请求伪造
- 5. 跨站请求伪造
- 6. 跨站请求伪造(CSRF)
- 7. 跨站请求伪造和cookie伪造
- 8. 15跨站请求伪造
- 9. csrf跨站请求伪造
- 10. CSRF 跨站请求伪造