主要内容:
1 csrf中间件: csrf跨站请求伪造
a : crsf的两个静态方法:
csrf_exempt : 给单个视图排除校验
csrf_protect: 给单个视图必须校验
from django.views.decorators.csrf import csrf_exempt, csrf_protect
# 可以通过csrf校验, 不注销csrf插件的情况下
# @csrf_exempt
# def login(request):
# return render(request, ‘login.html‘)
# 给csrf设置了一层安全保证, 不允许通过
@csrf_protect
def login(request):
return render(request, ‘login.html‘)
b : csrf的请求流程:
从process_request方法: 从请求的cookie中获取csrf_token ——》csrf_token ——》request.META[‘CSRF_COOKIE‘]
从process_view方法:
1: 如果视图函数加上了csrf_exempt的装饰器,则不做校验
2 : 如果请求方式是‘GET‘, ‘HEAD‘, ‘OPTIONS‘, ‘TRACE‘ 也不做校验
3 : 其他的方式做校验:
request.META.get(‘CSRF_COOKIE‘) —— 》 csrf_token
request_csrf_token = ‘‘
# 从request.POST中获取csrfmiddlewaretoken对应的值
request_csrf_token = request.POST.get(‘csrfmiddlewaretoken‘, ‘‘)
# 从请求头中获取X-csrftoken 的值
request_csrf_token = request.META.get(settings.CSRF_HEADER_NAME, ‘‘)
request_csrf_token 和 csrf_token 做对比
如果校验成功 正常走
如果校验不成功 拒绝
2 浏览器向服务器发请求的方式
a : 地址栏上输入地址 回车, get请求
b : form表单提交数据, 点击submit, post请求
c : a标签
d : ajax
3 JSON内容的复习:
在JavaScript中: 关于json对象和字符串转换的两个方法:
JSON.parse(): 用于将一个json字符串转为JavaScript对象
JSON.stringify(): 用于将JavaScript的值转换为json字符串
4 ajax : 一个与服务器进行交互的技术
a : 简介: 异步的JavaScript和XML, 即使用JavaScript语言与服务器进行异步交互, 传输的数据为XML,(也不只是xml), 不是一种新的编程语言, 而是一种使用现有的标准的新方法.
b : 优点
1 : 最大的优点是在不重新加载整个页面的情况下,可以与服务器交换数据并更新部分网页内容。(这一特点给用户的感受是在不知不觉中完成请求和响应过程)
2 : 异步交互:客户端发出一个请求后,无需等待服务器响应结束,就可以发出第二个请求
总结:
AJAX使用JavaScript技术向服务器发送异步请求;
AJAX请求无须刷新整个页面;
因为服务器响应内容不再是整个页面,而是页面中的部分内容,所以AJAX性能高;
c : 实例: 页面输入两个整数, 通过ajax传输到后端进行计算出结果,返回.
url中的代码:
urlpatterns = [
url(r‘^admin/‘, admin.site.urls),
url(r‘^index/‘, views.index),
url(r‘^calc/‘, views.calc),
url(r‘^calcs/‘, views.calcs),
]
views中的代码:
from django.shortcuts import render, HttpResponse
def index(request):
i1, i2, i3 = ‘‘, ‘‘, ‘‘
if request.method == ‘POST‘:
i1 = int(request.POST.get(‘i1‘))
i2 = int(request.POST.get(‘i2‘))
i3 = i1 + i2
return render(request, ‘index.html‘, {‘i1‘:i1, ‘i2‘: i2, ‘i3‘: i3})
import time
def calc(request):
print(request.POST)
i1 = int(request.POST.get(‘i1‘))
i2 = int(request.POST.get(‘i2‘))
i3 = i1 + i2
time.sleep(5)
return HttpResponse(i3)
def calcs(request):
i1 = request.POST.get(‘i1‘)
i2 = request.POST.get(‘i2‘)
i3 = i1 + i2
return HttpResponse(i3)
html中的代码
<body>
<input type="text" name="i1">+
<input type="text" name="i2" >=
<input type="text" name="i3">
<button id="b1">计算</button>
<hr>
<input type="text" name="ii1">+
<input type="text" name="ii2" >=
<input type="text" name="ii3">
<button id="b2">计算</button>
<script src="/static/jquery-3.3.1.min.js"></script>
<script>
$(‘#b1‘).click(function () {
$.ajax({
url:‘/calc/‘,
type:‘post‘,
data:{
i1 : $(‘[name="i1"]‘).val(),
i2 : $(‘[name="i2"]‘).val(),
},
success:function (ret) {
console.log(ret);
$(‘[name="i3"]‘).val(ret)
}
})
});
$(‘#b2‘).click(function () {
$.ajax({
url:‘/calcs/‘,
type:‘post‘,
data:{
i1 : $(‘[name="ii1"]‘).val(),
i2 : $(‘[name="ii2"]‘).val(),
},
success:function (ret) {
console.log(ret);
$(‘[name="ii3"]‘).val(ret)
}
})
});
</script>
</body>
</html>
d : ajax发post请求, 通过csrf验证的三种方法:
1: 页面中使用{% csrf_token%}
$(‘#b1‘).click(function () {
$.ajax({
url: ‘/csrf_test/‘,
type: ‘post‘,
data: {
csrfmiddlewaretoken: $(‘[name="csrfmiddlewaretoken"]‘).val(), # **********
name: ‘alex‘,
age: ‘73‘,
},
success: function (res) {
console.log(res);
}
})
});
2 : 通过获取返回的cookie中的字符串 放置在请求头中发送。
注意:需要引入一个jquery.cookie.js插件。
$.ajax({
url: "/cookie_ajax/",
type: "POST",
headers: {"X-CSRFToken": $.cookie(‘csrftoken‘)}, // 从Cookie取csrftoken,并设置到请求头中
data: {"username": "Q1mi", "password": 123456},
success: function (data) {
console.log(data);
}
})
或者自己写一个getcookie方法
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie !== ‘‘) {
var cookies = document.cookie.split(‘;‘);
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) === (name + ‘=‘)) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
var csrftoken = getCookie(‘csrftoken‘);
实例:
$(‘#b1‘).click(function () {
$.ajax({
url: ‘/csrf_test/‘,
type: ‘post‘,
headers: {"X-CSRFToken": $(‘[name="csrfmiddlewaretoken"]‘).val()},
data: {
name: ‘alex‘,
age: ‘73‘,
},
success: function (res) {
console.log(res);
}
})
});
结论 : 由于每一次都这么写太麻烦了,可以使用$.ajaxSetup()方法为ajax请求统一设置。
3 全局设置:
注意: 使用$.ajaxSetup()方法为ajax请求统一设置. 此时需要建一个js文件, 把下面的代码粘进去就可以.
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
beforeSend: function (xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});
从cookie中取值, 必须有cookie
有cookie的两种方式:
1 使用{%csrf_token%};
2 from django.views.decorators.csrf import ensure_csrf_cookie
这个时候需要使用ensure_csrf_cookie()装饰器强制设置Cookie。
$(‘#b2‘).click(function () {
$.ajax({
url: ‘/csrf_test/‘,
type: ‘post‘,
data: {},
success: function (res) {
console.log(res);
}
})
});
4 三种方法的views的代码:
from django.views.decorators.csrf import ensure_csrf_cookie
@ensure_csrf_cookie
def csrf_test(request):
if request.method == ‘POST‘:
print(request.POST)
return HttpResponse(‘测试成功‘)
return render(request, ‘csrf_test.html‘)
原文:https://www.cnblogs.com/gyh412724/p/9800568.html