在Django中预防CSRF攻击的操作
CSRF全拼为CrossSiteRequestForgery,译为跨站请求伪造。
CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。
(包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…)
造成的问题:个人隐私泄露以及财产安全。
CSRF攻击示意图
客户端访问服务器时没有同服务器做安全验证
防止CSRF攻击
步骤:
1.在客户端向后端请求界面数据的时候,后端会往响应中的cookie中设置csrf_token的值
2.在Form表单中添加一个隐藏的的字段,值也是csrf_token
3.在用户点击提交的时候,会带上这两个值向后台发起请求
4.后端接受到请求,会做以下几件事件:
4.1从cookie中取出csrf_token
4.2从表单数据中取出来隐藏的csrf_token的值
4.3进行对比
5.如果比较两个值(经过算法运算得出的结果)是一样,那么代表是正常的请求,如果没取到或者比较不一样,代表不是正常的请求,不执行下一步操作
CSRF_TOKEN的设置过程
创建视图类
添加路由
添加表单
在form里添加语句
{{csrf_input}}
Fruit:
Name:
补充知识:Django实现url跳转(重定向)
编辑urls.py文件如下:
fromdjango.urlsimportpath,include fromdjango.views.genericimportRedirectView urlpatterns=[ path('polls/',include('polls.urls')), path('',RedirectView.as_view(url='polls/')), ]
即表示将xxx.com跳转到xxx.com/polls/。
以上这篇在Django中预防CSRF攻击的操作就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持毛票票。
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:czq8825#qq.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。