关于Django Ajax CSRF 认证

CSRF（Cross-site request forgery跨站请求伪造，也被称为“one click attack”或者session riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，并且攻击方式几乎相左。XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。

Django 中自带了 防止CSRF攻击的功能，但是一些新手不知道如何使用，给自己编程带来了麻烦。常常会出现下面django csrf token missing or incorrect的错误。

GET 请求不需要 CSRF 认证，POST 请求需要正确认证才能得到正确的返回结果。一般在POST表单中加入 {% csrf_token %}

1 2 3 4 5

<form method="POST" action="/post-url/">     {% csrf_token %}           <input name='zqxt' value="自强学堂学习Django技术"> </form>

 

如果使用Ajax调用的时候，就要麻烦一些。需要注意以下几点：

1. 在视图中使用 render （而不要使用 render_to_response）

2. 使用 jQuery 的 ajax 或者 post 之前 加入这个 js 代码：http://www.ziqiangxuetang.com/media/django/csrf.js

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36

jQuery(document).ajaxSend(function(event, xhr, settings) {     function getCookie(name) {         var cookieValue = null;         if (document.cookie && document.cookie != '') {             var cookies = document.cookie.split(';');             for (var i = 0; i < cookies.length; i++) {                 var cookie = jQuery.trim(cookies[i]);                 // Does this cookie string begin with the name we want?                 if (cookie.substring(0, name.length + 1) == (name + '=')) {                     cookieValue = decodeURIComponent(cookie.substring(name.length + 1));                     break;                 }             }         }         return cookieValue;     }     function sameOrigin(url) {         // url could be relative or scheme relative or absolute         var host = document.location.host; // host + port         var protocol = document.location.protocol;         var sr_origin = '//' + host;         var origin = protocol + sr_origin;         // Allow absolute or scheme relative URLs to same origin         return (url == origin || url.slice(0, origin.length + 1) == origin + '/') ||             (url == sr_origin || url.slice(0, sr_origin.length + 1) == sr_origin + '/') ||             // or any other URL that isn't scheme relative or absolute i.e relative.             !(/^(//|http:|https:).*/.test(url));     }     function safeMethod(method) {         return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));     }       if (!safeMethod(settings.type) && sameOrigin(settings.url)) {         xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));     } });

或者 更为优雅简洁的代码（不能写在 .js 中，要直接写在模板文件中）：

1 2 3

$.ajaxSetup({     data: {csrfmiddlewaretoken: '{{ csrf_token }}' }, });

这样之后，就可以像原来一样的使用 jQuery.ajax() 和 jQuery.post()了

最后，附上一个 Django Ajax CSRF 实例