怎么用csrfdjango(2023年最新分享)
发布网友
发布时间:2024-09-29 20:37
共1个回答
热心网友
时间:2024-10-20 02:35
导读:本篇文章首席CTO笔记来给大家介绍有关怎么用csrfdjango的相关内容,希望对大家有所帮助,一起来看看吧。
各位是怎么解决django的防csrfdjangopost出现403的解决办法据说,从django1.x开始,加入了CSRF保护。
CSRF(Cross-siterequestforgery跨站请求伪造,也被称成为“oneclickattack”或者sessionriding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。-------来自百度百科
报错:Forbidden(403)
CSRFverificationfailed.Requestaborted.Help
Reasongivenforfailure:CSRFtokenmissingorincorrect.
Ingeneral,thiscanoccurwhenthereisagenuineCrossSiteRequestForgery,orwhenDjango'sCSRFmechanismhasnotbeenusedcorrectly.ForPOSTforms,youneedtoensure:
Yourbrowserisacceptingcookies.
TheviewfunctionusesRequestContextforthetemplate,insteadofContext.
Inthetemplate,thereisa{%csrf_token%}templatetaginsideeachPOSTformthattargetsaninternalURL.
IfyouarenotusingCsrfViewMiddleware,thenyoumustusecsrf_protectonanyviewsthatusethecsrf_tokentemplatetag,aswellasthosethatacceptthePOSTdata.
You'reseeingthehelpsectionofthispagebecauseyouhaveDEBUG=TrueinyourDjangosettingsfile.ChangethattoFalse,andonlytheinitialerrormessagewillbedisplayed.
YoucancustomizethispageusingtheCSRF_FAILURE_VIEWsetting.
在网上找解决办法,说是提交参数中要有csrf_token,才能成功。但网上都是1.3或者1.4版本的解决办法,在1.5版本中测试已经不能用了。
在1.5.1版本,我测试可行的解决办法有三种:
一:
关闭csrf保护功能。为视图函数添加@csrf_exempt修饰符。
fromdjango.views.decorators.csrfimportcsrf_exempt@csrf_exemptdefview(request):#yourcode.....当然这样不安全。
二:在模版文件中,每个form提交域中都加上{%csrf_token%}标签,并使用render函数返回视图,或者强行使用RequestContext代替Context。例:fromdjango.shortcutsimportrenderdefcontact(request):form=ContactForm()#这里我使用了一个django的表格returnrender(request,'contact.html',{'form':form})
或者:
fromdjango.shortcutsimportrender_to_responsedefcontact(request):form=ContactForm()#这里我使用了一个django的表格returnrender_to_response('contact.html',{'form':form},context_instance=RequestContext(request))
contact.html的内容:
htmlheadstyletype="text/css"ul.errorlist{margin:0;padding:0;}.errorlistli{background-color:red;color:white;display:block;font-size:10px;margin:003px;padding:4px5px;}/styletitlesend/title/headbodyh1Contactus/h1formaction=""method="post"{%csrf_token%}divclass="field"{{form.subject.errors}}labelfor="id_subject"工作:/label{{form.subject}}/divdivclass="field"{{form.email.errors}}labelfor="id_email"你的邮箱地址:/label{{form.email}}/divdivclass="field"{{form.message.errors}}labelfor="id_message"消息:/label{{form.message}}/divinputtype="submit"value="Submit"/form/body/html
三:
方法二显然只能*在django模版中使用,那如果我们使用javascript或者AJAX的时候呢?怎么添加csrf_token呢?
我们可以使用javascript来提取cookies中的csrf_token。
functiongetCookie(name){varcookieValue=null;if(document.cookiedocument.cookie!=''){varcookies=document.cookie.split(';');for(vari=0;icookies.length;i++){varcookie=jQuery.trim(cookies[i]);if(cookie.substring(0,name.length+1)==(name+'=')){cookieValue=decodeURIComponent(cookie.substring(name.length+1));break;}}}returncookieValue;}
或者这个好理解的:
functiongetCookie(sName){varaCookie=document.cookie.split(";");for(vari=0;iaCookie.length;i++){varaCrumb=aCookie[i].split("=");if(sName==aCrumb[0])return(aCrumb[1]);}returnnull;}
AJAX中这样用:$.post(url,{"csrfmiddlewaretoken":getCookie('csrftoken')},function(data){alert(data);});
但是有一个问题,当有一个新用户访问这个页面的时候,cookie里并没有csrftoken这个值。只有进行第二种方法,才能在cookie里生成csrftoken值。解决此问题的方法随后更新。
完全可以满足简单的建站需要。
求助django实现前端页面检索功能的代码
设我们的django博客应用有如下的文章模型:
blog/models.pyclassPost(models.Model):
#标题
title=models.CharField(max_length=70)
#正文
body=models.TextField()
#其他属性
def__str__(self):
returnself.title
先看到第1步,用户在搜索框输入搜索关键词,因此我们要在博客上为用户提供一个搜索表单,html表单代码大概像这样:
formmethod="get"action="/search/"
{%csrf_token%}inputtype="search"placeholder="搜索"required
buttontype="submit"搜索/button/form
特别注意在form标签下有一个{%csrf_token%},这是django用来防御跨站请求伪造(CSRF)攻击的机制。如果不知道什么是CSRF的话也没有关系,只要记住在使用django时,前端的表单代码里一定要加上{%csrf_token%}。
用户输入了搜索关键词并点击了搜索按钮后,数据就被发送给了django后台服务器。表单的action属性的值为/search/,表明用户提交的结果将被发送给/search/这个URL。我们为这个URL绑定一个django视图函数,在这个视图函数里完成前面第2步提到的过程。假设我们把视图函数的代码写在blog/views.py里:
blog/views.pydefsearch(request):
q=request.GET.get('q')
error_msg=''
ifnotq:
error_msg='请输入关键词'
returnrender(request,'blog/errors.html',{'error_msg':error_msg})
post_list=Post.objects.filter(title__icontains=q)
returnrender(request,'blog/results.html',{'error_msg':error_msg,
'post_list':post_list})
首先我们使用request.GET.get('q')获取到用户提交的搜索关键词。用户通过表单提交的数据django为我们保存在request.GET里,这是一个类似于Python字典的对象,所以我们使用get方法从字典里取出键q对应的值,即用户的搜索关键词。这里字典的键之所以叫q是因为我们的表单中搜索框input的name属性的值是q,如果修改了name属性的值,那么这个键的名称也要相应修改。
接下来我们做了一个小小的校验,如果用户没有输入搜索关键词而提交了表单,我们就无需执行查询,而是渲染一个错误页面提示用户请输入关键词。
如果用户输入了搜索关键词,我们就通过filter方法从数据库里过滤出符合条件的所有文章。这里的过滤条件是title__icontains=q,即title中包含(contains)关键字q,前缀i表示不区分大小写。这里icontains是查询表达式(Fieldlookups),其用法是在模型需要筛选的属性后面跟上两个下划线。django内置了很多查询表达式,建议过一遍django官方留个印象,了解每个表达式的作用,以后碰到相关的需求就可以快速定位到文档查询其用途:Fieldlookups
接下来就是渲染搜索结果页面,显示符合搜索条件的文章列表,下面是一个模板的简单示例:
results.html
{%iferror_msg%}p{{error_msg}}/p{%endif%}
{%forpostinpost_list%}div
在这里显示文章的相应信息/div{%empty%}divclass="no-post"
没有搜索到符合条件的文章/div{%endfor%}
有了视图函数后记得把视图函数映射到相应了URL,前面我们表单数据提交的URL为/search/,因此将视图函数search绑定到该URL上。
blog/urls.pyurlpatterns=[
#其他url配置
url(r'^search/$',views.search,name='search'),]
大功告成!
当我用django的超级用户登录时候,出现CSRF的错误,如图,怎么解决啊??需要在form后面加上csrf_token。如:
formmethod="post"{%csrf_token%}
xxx
/form
或者修改django源码:django/middleware/csrf.pyprocess_view
在“#Iftheuserdoesn'thaveaCSRFcookie”上面增加以下代码:
ifrequest.path.startswith('/admin'):
returnaccept()
如果django版本为1.2.5,则修改为:
ifrequest.path.startswith('/admin'):
returnself._accept(request)
这表示请求url是/admin的话,即使form后面没带csrf_token也可以访问。
如何在Django使用ajax的POSTpost方式不同于get方式可以被django直接得到,因为django为post加入了csrf保护,详细的文档地址
注释:在最新版本中,在setting.py里'django.middleware.csrf.CsrfViewMiddleware',默认是使用中的,如果没有请自行添加,并且确保此引用在其他所有viewware前面
MIDDLEWARE_CLASSES=(
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',//thislineisvsrf
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django_cas.middleware.CASMiddleware',
'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
)
如果想避过csrf检测这一层直接使用post的话,有几种方法:
1需要在views.py里要出发post请求的函数前加入@csrf_exempt,之前要引入fromdjango.views.decorators.csrfimportcsrf_exempt
2在settings.py中MIDDLEWARE_CLASSES中注释掉'django.middleware.csrf.CsrfViewMiddleware'
说下正确使用csrf的方法:
对于ajax.post方法,需要在ajax方法触发前加入一段js,这段我理解是用来生成不同的token,但是很好奇如果禁掉了co
结语:以上就是首席CTO笔记为大家介绍的关于怎么用csrfdjango的全部内容了,希望对大家有所帮助,如果你还想了解更多这方面的信息,记得收藏关注本站。
