Django的CSRF防护机制

什么是CSRF？

　　CSRF(Cross-site request forgery), 中文名称：跨站请求伪造，也被称为：one click attack/session riding,缩写为：CSRF/XSRF

CSRF攻击过程

　　

　　从上图可以看出，要完成一次CSRF攻击，受害者必须依次完成两个步骤：

　　　　1、登陆受信任的网站A，并在本地客户端（浏览器）产生Cookie；

　　　　2、在不退出A的情况下(准确的说是在访问A网站产生的Cookie不过期的情况下)，访问危险网站B;

Django 的CSRF防御机制

　　注：django框架只对来自客户端的post请求进行CSRF防御，get请求django默认是合法的请求

　　django 在第一次响应来自某个客户端的请求时，会在服务器端随机产生一个token，把这个token放在cookie里，然后每次

　　post请求都会携带这个token，这样就能避免CSRF攻击。

具体的实现方法

　　django通过中间件 django.middleware.csrf.CsrfViewMiddleware 来防止跨站请求伪造，而对于django中设置防止

跨站请求伪造功能分为全局设置和局部设置

全局：

　　中间件 django.middleware.csrf.CsrfViewMiddleware 

　　注：中间件会在全局上进行防止post请求的CSRF攻击

局部：

　　1、@csrf_protect,为当前View视图函数强制设置防CSRF攻击，即便settings中没有设置全局的中间件

　　2、@csrf_exempt,取消当前View视图函数防止CSRF攻击，即便settings中设置了全局中间件（也可以在url中取消csrf防护）

　　注：from django.views.decorators.csrf import csrf_exempt, csrf_protect

具体应用

1、在from表单中附加csrftoken

前端
{% csrf_token %}
后端
view视图函数中设置返回值
#在渲染模块时，使用 RequestContext。RequestContext 会处理模板中{% csrf_token %} 这个 tag,从而自动为表单添加一个名为 csrfmiddlewaretoken 的 input标签

<input type="hidden" name="csrfmiddlewaretoken" value="{{ csrf_token }}">

return render_to_response('Account/Login.html',data,context_instance=RequestContext(request))　
或者

#使用render则会自动生成，不用ReqestContext

return render(request, 'xxx.html', data) 

 2、Ajax发送post请求

前端：

　　在进行post提交时，获取Cookie当中的csrftoken并在request请求中添加X-CSRFToken请求头，请求头的数据就是csrftoken。

　　通过$.ajaxSetup方法设置AJAX请求的默认参数选项，在每次ajax的POST请求时，添加X-CSRFToken请求头

<!DOCTYPE html>
<html>
<head lang="en">
    <meta charset="UTF-8">
    <title></title>
</head>
<body>
　
    <input type="button" onclick="Do();"  value="Do it"/>
  
    <script src="/static/plugin/jquery/jquery-1.8.0.js"></script>
    <script src="/static/plugin/jquery/jquery.cookie.js"></script>
    <script type="text/javascript">
        var csrftoken = $.cookie('csrftoken');
  
        function csrfSafeMethod(method) {
            // these HTTP methods do not require CSRF protection
            return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
        }
        $.ajaxSetup({
            beforeSend: function(xhr, settings) {
                if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
                    xhr.setRequestHeader("X-CSRFToken", csrftoken);
                }
            }
        });
        function Do(){
  
            $.ajax({
                url:"/app01/test/",
                data:{id:1},
                type:'POST',
                success:function(data){
                    console.log(data);
                }
            });
  
        }
    </script>
</body>
</html>

后端

1.表单中添加{%csrf_token%}这个模板标签

<form id="comment_form" action="#"></form>
{% csrf_token %}   就是这个
<p>姓名: <input type="text" name="useranme" id="username"></p>
<p>内容: <textarea name="content" id="content" rows="5" cols="30"></textarea></p>
<p><input type="button", id="send" value="提交"></p>

2.ensure_csrf_cookie装饰器。

from django.shortcuts import render
from django.views.decorators.csrf import ensure_csrf_cookie

@ensure_csrf_cookie
def ajax_demo(request):
    return render(request, 'ajax_demo.html')