Django实战-csrf_token 跨站请求
Django网络应用开发的5项基础核心技术包括模型(Model)的设计,URL 的设计与配置,View(视图)的编写,Template(模板)的设计和Form(表单)的使用。
一、CSRF认证
在业务场景中,有两种不同的csrf防护场景,一种是基于Form 表单提交数据的防护,一种是基于ajax 异步请求数据的防护。
csrf 要求发送post、put或delete请求的时候,是先以get方式发送请求,服务端响应时会分配一个随机字符串给客户端,客户端第二次发送post、put或delete请求时携带上次分配的随机字符串到服务端进行校验。
二、Django中CSRF中间件
在 django 项目中,如果想对全局所有视图函数或视图类起作用时,就可以在中间件中实现,比如想实现用户登录判断,基于用户的权限管理等都可以在Django中间件中来进行操作,Django内置了很多中间件,其中之一就是 CSRF中间件。
三、csrf_exempt 装饰器
在 Django 项目中,注册起用了 CsrfViewMiddleware 中间件,则项目中所有的视图函数和视图类在执行过程中都要进行CSRF验证。
① 此时想使某个视图函数或视图类不进行CSRF验证,则可以使用csrf_exempt装饰器装饰不想进行CSRF验证的视图函数。
from django.views.decorators.csrf import csrf_exempt@csrf_exempt
def index(request):
pass② 可以把csrf_exempt装饰器直接加在URL路由映射中,使某个视图函数不经过CSRF验证
from django.views.decorators.csrf import csrf_exempt
from users import views urlpatterns = [
url(r'^admin/', admin.site.urls),
url(r'^index/',csrf_exempt(views.index)),
]四、csrf_protect 装饰器
在 Django 项目中,没有注册起用CsrfViewMiddleware中间件,但是想让某个视图函数进行CSRF验证,则可以使用csrf_protect装饰器。
csrf_protect 装饰器的用法跟csrf_exempt装饰器用法相同,都可以在视图函数上方装饰视图函数或者在URL路由映射中直接装饰视图函数。
from django.views.decorators.csrf import csrf_protect
from users import views urlpatterns = [
url(r'^admin/', admin.site.urls),
url(r'^index/',csrf_protect(views.index)),
]腾讯云开发者
