如何使用django中間件django.middleware.csrf.CsrfViewMiddleware防止csrf攻擊
這篇文章主要介紹如何使用django中間件django.middleware.csrf.CsrfViewMiddleware防止csrf攻擊����,文中介紹的非常詳細��,具有一定的參考價值�,感興趣的小伙伴們一定要看完���!
一�����、在django后臺處理
1�、將django的setting中的加入django.contrib.messages.middleware.MessageMiddleware�����,一般新建的django項目中會自帶的���。
MIDDLEWARE_CLASSES = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
]
2��、在templete的html頁的from中添加{% csrf %}���,后臺重定向語法如下:
return render_to_response(xxx.html', context_instance=RequestContext(request))
二�、前端處理
對所有的ajax請求加上以下語句:
$(function () {
$.ajaxSetup({
data: {csrfmiddlewaretoken: '{{ csrf_token }}'},
});
})這樣向后臺的請求都會帶django生成的那個csrf_token值����。中間件csrf模塊會截取判斷csrf_token值是否一致�,如果一致則請求合法��。
三����、對于ajax的復雜對象���,例如[{"id":"001","name":"小明"},{"id":"002","name":"小軍"}].��,后臺post的處理
必須將這種對象轉化為json格式傳到后臺�,后臺在反序列化即可��。(不要用ajax的其他序列化格式�����,其深度序列化后����,django后臺解析比較困難)
contentType不需要指定utf-8�����,否則post解析出錯
四�����、csrf攻擊與預防
csrf利用session和cookie的時效性進行攻擊���。他會獲取請求的cookie�����,在session時效內進行請求�。因此對于重要信息���,重要功能進行單次請求處理�����。即請求一次失效��。
例如:請求頭中加入驗證token信息�,用完即失效��。django的中間件csrf_token就是此原理防止的����。
以上是“如何使用django中間件django.middleware.csrf.CsrfViewMiddleware防止csrf攻擊”這篇文章的所有內容���,感謝各位的閱讀��!希望分享的內容對大家有幫助�,更多相關知識��,歡迎關注億速云行業資訊頻道��!
