到Django表单的POSTing比使用Service Worker后台同步生成的要晚得多: CSRF问题
Django表单的POST请求相对于使用Service Worker后台同步生成的请求来说,会晚得多,这是因为涉及到CSRF(跨站请求伪造)问题。
CSRF是一种常见的网络攻击方式,攻击者通过伪造用户的请求,使得用户在不知情的情况下执行恶意操作。为了防止CSRF攻击,Django引入了CSRF保护机制。
在Django中,当使用表单提交数据时,会自动生成一个CSRF令牌(也称为CSRF Token),该令牌会被包含在表单数据中。在服务器端接收到表单数据时,会验证该令牌的有效性,如果验证失败,则拒绝处理该请求。
而使用Service Worker后台同步生成的请求,由于是在浏览器后台运行的脚本,不会自动携带CSRF令牌。因此,如果直接使用Service Worker后台同步生成的请求来提交表单数据,服务器端会认为缺少CSRF令牌,从而拒绝处理该请求。
为了解决这个问题,可以在Service Worker脚本中手动获取并携带CSRF令牌。具体步骤如下:
- 在Django的模板中,使用
{% csrf_token %}标签生成CSRF令牌,并将其存储在某个变量中,例如csrf_token。 - 在Service Worker脚本中,通过
fetchAPI发送POST请求时,可以在请求头中添加CSRF令牌。示例代码如下:
self.addEventListener('sync', function(event) {
if (event.tag === 'formSync') {
event.waitUntil(
// 获取CSRF令牌
self.clients.matchAll().then(function(clients) {
return clients[0].fetch('/get_csrf_token/');
}).then(function(response) {
return response.text();
}).then(function(csrfToken) {
// 构造请求头
var headers = new Headers();
headers.append('Content-Type', 'application/json');
headers.append('X-CSRFToken', csrfToken);
// 构造请求体
var formData = new FormData();
formData.append('data', 'example data');
// 发送POST请求
return fetch('/submit_form/', {
method: 'POST',
headers: headers,
body: formData
});
})
);
}
});在上述代码中,/get_csrf_token/是一个用于获取CSRF令牌的接口,/submit_form/是用于提交表单数据的接口。你可以根据实际情况进行修改。
需要注意的是,上述代码仅为示例,实际使用时需要根据具体的项目结构和需求进行适当的调整。
推荐的腾讯云相关产品:腾讯云云服务器(CVM)、腾讯云容器服务(TKE)、腾讯云数据库MySQL版、腾讯云CDN加速等。你可以通过访问腾讯云官网(https://cloud.tencent.com/)获取更详细的产品介绍和相关文档。
相关·内容
1回答
到Django表单的POSTing比使用Service Worker后台同步生成的要晚得多: CSRF问题
django、service-worker、django-csrf、background-sync
我有一个Django表单,我可以通过service worker离线使用。但是,我打开了Django的CSRF保护。这要求我使用合法的CSRF令牌提交表单,该令牌存储在cookie中,但也存储在表单主体(或者更好的是X-CSRFToken头)以及fetch()请求的一部分中。我想过使用从服务工作者到</
浏览 7提问于2019-09-04得票数 1
回答已采纳
2回答
Angular PWA在没有WorkBox的情况下增加后台同步
angular、service-worker、progressive-web-apps、angular-service-worker、angular-pwa
所以我的问题很简单:我找到的唯一信息是:欢迎任何指南或解决方案!
浏览 9提问于2020-02-03得票数 2
3回答
如何从命令行获得CSRF令牌?
django、django-csrf
我经常使用curl测试我的应用程序,在过去,我不得不简单地用csrf_exempt包装我的视图。我真的不想这样做,因为我有一种讨厌的感觉,我会忘记在部署中这样做,并享受一生的CSRF地狱。是否有一种方法可以使用Django的shell命令请求CSRF令牌?我想得到一个令牌,我可以发送我的curl请求,以安全地测试事物。
浏览 5提问于2013-11-07得票数 5
回答已采纳
2回答
Django : CSRF令牌丢失或不正确
python、django、csrf、django-csrf
我已经尝试了所有的在线解决方案,我仍然有错误(一个Chrome) "CSRF令牌丢失或不正确“,而Opera和Firefox返回"CSRF cookie未设置”代替?这是我的档案:# views.pyfrom django.http import HttpResponse, HttpResponseRedirect
from django.contri
浏览 2提问于2013-01-28得票数 1
回答已采纳
2回答
管理请求的Spring安全配置错误
java、spring、spring-mvc、spring-security
我希望没有安全过滤器的资源,要过滤的标准页面检查用户是否具有角色" user“和/admin/要服务的页面检查角色是否为"Admin”。我的formLogin使用的不是spring表单,而是经典表单。当我登录并尝试获取类似/admin/testpage的pge时,即使我具有管理员角色,也会被重定向到FormLogin页面,
浏览 2提问于2015-06-22得票数 2
5回答
Django 1.3中的Ajax CSRF问题
ajax、django、csrf
根据django文档,对于1.3中的ajax post请求(至少使用Jquery),我们只需要将此添加到主js文件中。这段代码从cookie中获取csrftoken,然后为所有ajax请求设置它。或者也许还有另一种方法来处理ajax csrf保护?
浏览 1提问于2011-03-31得票数 6
2回答
有没有一种简单的方法来生成一个与Yesod中的GET方法不同的链接,比如在Rails中,可以通过JavaScript提交链接的link_to foo, bar, method: "post"?更新: Rails所做的就是生成一个data-method属性,然后由它自己的JavaScript库来处理。我不一定要寻找完全相同的解决方案,而是如果有一个在Yesod中创建POST链接的现有机制。
浏览 5提问于2015-02-05得票数 4
回答已采纳
1回答
在会话中存储CSRF的密钥?
php、session、encryption、csrf
我正在尝试学习如何使用CSRF令牌保护我的表单,从我所读到的内容来看,我认为我所做的是安全的,但我对它的了解还不够,无法真正验证该声明。),MCRYPT_MODE_CBC,md5(md5($key);
将CSRF令牌放置到表单中的隐藏输入中。ID匹配,则继续使用表单,否则,将用户注销并重定向到主页。按照设置的</em
浏览 13提问于2014-03-17得票数 2
回答已采纳
1回答
CSRF-XHR的预防-请求
javascript、ajax、cookies、xmlhttprequest、csrf
我刚了解到预防CSRF的细节。在我们的应用程序中,所有“写入”请求都是使用XHR完成的。实际上没有一个表单在整个页面中提交,一切都是通过XHR完成的。现在我想知道,在这个场景中,随机值是否真的是必需的。似乎比四处拖动随机值要<
浏览 2提问于2015-03-25得票数 2
回答已采纳
2回答
curl在Ruby on Rails应用程序上上传文件
ruby-on-rails、ruby、curl
我正在尝试使用curl将文件上传到我的小Ruby on Rails应用程序。但是查看表单的RoR操作是"insert“操作。但是我需要使用curl提交文件。当我执行插入时,我只能得到curl -F myfile=@localfile.txt -F commit="submit" URL/insert格式的"insert“<
浏览 2提问于2013-01-11得票数 1
2回答
CSRF与X-CSRF-Token的区别
security、http-headers、csrf、csrf-token
使用之间的区别是什么? 在HTTP标头中或 令牌 在隐藏区? 什么时候使用隐藏字段,什么时候使用头部,为什么? 我认为 是在我使用JavaScript / AJAX的时候,但我不确定。
浏览 260提问于2016-01-14得票数 46
回答已采纳
3回答
django -在模板中显示查询集的长度
django
在我的html文件中,我如何输出我正在使用的查询集的大小(用于调试目的){{ len(some_queryset) }}
但这并不管用。格式是什么?
浏览 45提问于2012-05-22得票数 43
回答已采纳
4回答
针对CSRF保护登录和评论表单
php、authentication、header、csrf、protection
我已经读过很多关于CSRF保护()的文章,以及关于这些问题的各种问题,但是它们似乎都没有足够的信息来回答我的问题。我网站上的所有表单都是使用令牌进行保护的。我已经知道了这种方法,但问题是它需要一个活动会话(即在用户登
浏览 5提问于2013-03-26得票数 6
回答已采纳
1回答
保护API免受CSRF攻击?
php、ajax、api、csrf
我有一个PHP API,我的网站正在使用Ajax请求!那么简单地说,我如何在使用此API时防止CSRF?我使用HTTPS连接来执行这些操作。但我认为这还不足以保证运营的安全!
浏览 0提问于2014-08-03得票数 1
4回答
django或yii用于构建带有db和自定义表单和报表的生产web应用程序。
django、yii
我试图在django和yii之间选择可伸缩的、可维护的企业级web应用程序(最好是mysql)后端。该应用程序主要关注数据输入,但使用自定义工作流(超出基本的自动生成crud表单)和自定义报表。8年前,使用php、mysql、perl/cgi构建了一个类似的应用程序,并且记住这是痛苦的(用陡峭的学习曲线从头做起)。需要再次学习python或php语法,但我很快就学会了语言。在网上广泛阅读有关djan
浏览 6提问于2013-04-04得票数 11
1回答
典型的CppCMS内存消耗
c++、memory、optimization、cppcms
我正在开发一个CppCMS应用程序,用于在基于手臂的自定义板上运行。我正在使用在Lighttpd后面运行CppCMS。但是显然CppCMS消耗的内存比50+MB要多得多,这让我感到惊讶。免责声明:上面列出的内存消耗是使用busybox的'ps‘applet获得的,这可能与报告的内存使用有关。因此,不要让我的漫谈在这里阻止您给Artyoms优秀的<
浏览 5提问于2013-11-29得票数 3
2回答
码头工人提出了太多的过程
docker、docker-compose、celery、docker-swarm
我正在使用docker swarm运行一些芹菜工人,并注意到docker service ls显示的进程比系统工具(如顶部)要少得多。这就是我运行docker service ls时得到的ID NAME MODE我想(当然,基于我的信任),docker servic
浏览 0提问于2018-12-28得票数 1
回答已采纳
2回答
Microservice CQRS独立构建(写)查询模型和读取模型
design-patterns、microservices、scaling、cqrs、event-sourcing
我有一个带有事件源和CQRS的微服务架构。所以我的命令已经与查询部分分开了。问题在于同步查询和查询查询,而不是命令部分。每隔几分钟就会发送大约60000条命令,并使用event-sourcing模式将其存储为事件。通过CQRS,实际数据(而不是事件)被同步到另一个服务,后者将其存储在数据库中。我真的很想坚持微服务的设计模式,也就是one database per service,但是由于缩放的原因,我认为在我
浏览 1提问于2019-07-06得票数 4
回答已采纳
1回答
将一个控件的验证器以角反应形式绑定到另一个控件的值
angular、angular-reactive-forms
我对角1.6非常熟悉,刚开始学习角形5,看看反应性的形式,所以很抱歉,如果这是一个新手的问题。我们的应用程序有许多复杂的验证规则,我可以看到,在大多数情况下,使用反应性表单实现它们会更容易。我有一些场景似乎要难得多,特别是当对验证器的输入是来自另一个控件的值时。以下是两个明显的例子:
“从”和“到”日期字段,其中"to“字段必须是比
浏览 0提问于2018-02-19得票数 0
3回答
如何可靠地检测某项何时在视图外滚动?
c#、wpf、itemscontrol、ui-virtualization
我有大量绑定到ListBox的项集合,其中VirtualizingStackPanel设置为ItemsPanel。在创建用户滚动和项容器时,我做了一些工作,用数据填充项(使用数据库查询)。如果用户滚动得非常快,它会生成大量的请求,这些请求往往会使事情陷入困境。我想要做的是检测项目何时被滚动到视口外,这样我就可以取消其相应的请求。以下是我迄今为止尝试过的方法,以及它们没有奏效的原因:
覆盖。问题是,这个方法
浏览 3提问于2014-01-12得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
