Django 启用和禁用CSRF功能
1.Django CSRF的原理
CSRF(Cross Site Request Forgery)也就是跨站请求伪造,实现的原理是CSRF攻击者在用户已经登陆目标网站以后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操做的请求,达到攻击目的;html
2.CSRF认证
- 在项目的settings文件中有一个配置项MIDDLEWARE,表示默认Django启用csrf认证;
'django.middleware.csrf.CsrfViewMiddleware'
- 当页面为form表单提交时,通常都须要在form标签中加上
{% csrf_token %},若是第一次表单提交的时候带上了csrf_token,服务器端就会认为这个是可信任的用户,因此若是第二次提交时form表单去掉csrf_token,可是浏览器请求时会带上以前表单第一次提交时中的csrf_token,服务器端默认信任这个csrf_token;
<form action="{% url 'users:image' %}" method="post" enctype="multipart/form-data">
{# <input type="file" name="upload" accept="image/gif, image/jpeg, image/png, image/jpg">#}
<input type="file" name="upload">
<input type="submit" value="提交">
{% csrf_token %}
</form>
- 若是在settings文件中将csrf的中间件注释,那么form表单提交,将再也不须要csrf token认证;
3.CSRF局部禁用
- 为了不没有csrf token而产生的403的forbidden错误问题,一般使用
django.views.decorators.csrf.csrf_exempt装饰器来修饰这个处理POST请求的View, 这种方式是CSRF局部禁用;
from django.views.generic import View
from django.utils.decorators import method_decorator
from django.views.decorators.csrf import csrf_exempt
class CSRFTestView(View):
@method_decorator(csrf_exempt)
def dispatch(self, request, *args, **kwargs):
return super().dispatch(request, *args, **kwargs)
def post(self, request):
pass
- 局部启用能够使用
csrf_protect,须要先在settings文件注释CsrfViewMiddleware;
from django.views.generic import View
from django.utils.decorators import method_decorator
from django.views.decorators.csrf import csrf_protect
class CSRFTestView(View):
@method_decorator(csrf_protect)
def dispatch(self, request, *args, **kwargs):
return super().dispatch(request, *args, **kwargs)
def post(self, request):
pass
- 若是须要禁用Django CSRF功能项目都是启用全局的CSRF中间件,针对局部的View进行禁用;
4.Postman
Postman是一种网页调试与发送网页http请求的chrome插件,能够用来很方便的模拟get、post、put、patch、delete、copy等多种方式的请求来调试接口; postman可用做macOS,Windows和Linux操做系统的本机应用程序。Windows系统下安装postman只须要下载安装文件,而后运行安装程序就能够了;chrome
Postman的下载地址:https://www.getpostman.com/downloads/django
参考:https://www.9xkd.com/user/plan-view.html?id=1091380484浏览器
相关文章
- 1. Django 启用和禁用CSRF功能
- 2. django-csrf使用和禁用
- 3. Django 全局彻底禁用CSRF机制
- 4. 禁用ping功能(禁用ICMP协议)
- 5. 禁用和启用windows defender
- 6. Exchange-备份和规则,禁用功能
- 7. 开启和禁用hyper-v
- 8. 启用Direct3D功能
- 9. 禁用和启用input元素
- 10. Confluence 启用和禁用自动完成
- 更多相关文章...
- • 使用Redis和Lua的原子性实现抢红包功能 - 红包项目实战
- • PHP imageantialias - 是否使用抗锯齿(antialias)功能 - PHP参考手册
- • 适用于PHP初学者的学习线路和建议
- • TiDB 在摩拜单车在线数据业务的应用和实践
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
欢迎关注本站公众号,获取更多信息
相关文章