csrf

CSRF跨站请求伪造
   如何通过csrf校验
      <form action="" method="post">
         {% csrf_token %}
         <p>username:<input type="text" name="username"></p>
         <p>money:<input type="text" name="money"></p>
         <p>对方账户:<input type="text" name="others"></p>
         <input type="submit">
      </form>
      <input type="hidden" name="csrfmiddlewaretoken" value="HHxKItr7Z17sZxCAtybnOeV5ne5K3xnvkymENCupB5ylL8h8kWBIiklm9K10paxE">

   ajax如何通过csrf校验
      # 通过jQuery标签查找获取csrfinput框的键值对,手动加到data参数里面
   $('button').click(function () {
      $.ajax({
         url:'',
         type:'post',
         data:{'name':'jason','csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()},
         success:function (data) {
            console.log(data)
         }
      })
   })
      
局部使用与局部禁用csrf
from django.views.decorators.csrf import csrf_exempt,csrf_protect

@csrf_exempt
def home(request):
   return HttpResponse('home')


@csrf_protect
def login(request):
   return HttpResponse('login')

#csrf是给用户返回的form表单页面，用户需要提交数据的页面，给他偷偷的筛了一个键值对
#给form表单页面，筛了一个input框，input框中name = csrf...等等，value是动态生成值
#也就是说，每次提交的时候，我先获取我给你筛的这个input框里的name和值到底给我的相不相等
#如果不相等，就把你forbidden掉，意味着你不是我网站出来的页面，相当于你这个页面是你自己写的页面
#写好视图函数之后，还要再起一个django，两个服务器，别人的页面跟你写的页面肯定是两个不同的服务器
#要写把scrf注掉
#将新起的django的端口号该一下，然后将我这个diango的路径复制过去

#  'django.middleware.csrf.CsrfViewMiddleware',
# {% scrf_token %} form表单加上这个就算在settings里面加上
# 'django.middleware.csrf.CsrfViewMiddleware',就不会报错了

#scrif
def index(request):
    print(123)
    username = request.POST.get('username')
    money = request.POST.get('money')
    others = request.POST.get('others')
    print(request.POST.get('name'))
    print('%s 给 %s 转了%s 钱' %(username,money,others))
    return render(request, 'index.html',locals())


#这个网站，并不是整体都是要校验csrf的，有几个视图函数也能接受这个post请求，但是不需要
#接受这个csrf_token,就有一个装饰器就不需要校验到csrf_token了

from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_exempt
def home(request):
    return HttpResponse('home')  #一定要return一个HttpResponse对象


#需要csrf校验的函数
@csrf_protect
def login(request):
    return HttpResponse('login')


#CBV
from django.utils.decorators import method_decorator

#装饰csrf装饰器的时候，只有这两种写法
@method_decorator(csrf_exempt,name='dispatch')  #第一种
class Reg(View):
    @method_decorator(csrf_exempt)  #第二种
    def dispatch(self, request, *args, **kwargs):
        res = super().dispatch(request,*args,**kwargs)
        return res
    def get(self,request):
        return HttpResponse('get')

    def post(self,request):
        return HttpResponse('post')

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="https://cdn.bootcss.com/jquery/3.4.1/jquery.min.js"></script>

    <link href="https://cdn.bootcss.com/twitter-bootstrap/3.4.1/css/bootstrap.min.css" rel="stylesheet">
    <script src="https://cdn.bootcss.com/twitter-bootstrap/3.4.1/js/bootstrap.min.js"></script>

    <link href="https://cdn.bootcss.com/font-awesome/5.8.2/css/fontawesome.min.css" rel="stylesheet">
    <script src="https://cdn.bootcss.com/font-awesome/5.8.2/js/fontawesome.min.js"></script>

    <link href="https://cdn.bootcss.com/sweetalert/1.1.3/sweetalert.min.css" rel="stylesheet">
    <script src="https://cdn.bootcss.com/sweetalert/2.1.2/sweetalert.min.js"></script>
</head>
<body>
{#<h1>hello</h1>#}
<h1>正经网站</h1>
<!--csrif-->
{#<form action="" method="post">#}
{#    {% csrf_token %}#}
{#    <!--hidden隐藏 name取的名字csrf.. value是随机字符串，#}
{#    这个随机字符串是每次请求页面都会动态刷新，也就意味着你下次提交的时候，#}
{#    input里的值我后端可以拿到，拿到之后根据这个name拿到这个value,#}
{#    然后比对以下这个value跟我之前那个value访问的一不一样，如果不一样就forbidden掉-->#}
{#    <input type="text" hidden name="csrftoken" value="jdfverffsddkmcf">#}
{#    <p>username:<input type="text" name="username"></p>#}
{#    <p>password:<input type="text" name="money"></p>#}
{#    <p>对方账号：<input type="text" name="others"></p>#}
{#    <input type="submit">#}
{#</form>#}
{#<button id="1">ajaz请求</button>#}
{#<script>#}
{#    $('#1').click(function(){#}
{#        $.ajax({#}
{#            url:'',#}
{#            type:'post',#}
{#            data:{'name':'jason','csrfmiddlewaretoken': $('[name=csrfmiddlewaretoken]').val()},#}
{#            success:function(data){#}
{#                console.log(data) }#}
{#        })#}
{#    })#}
{#</script>#}



{#<!--没写 {% csrf_token %} 加装饰器的视图函数前端页面-->#}
{#<form action="/home/" method="post">#}
{#    <!--hidden隐藏 name取的名字csrf.. value是随机字符串，#}
{#    这个随机字符串是每次请求页面都会动态刷新，也就意味着你下次提交的时候，#}
{#    input里的值我后端可以拿到，拿到之后根据这个name拿到这个value,#}
{#    然后比对以下这个value跟我之前那个value访问的一不一样，如果不一样就forbidden掉-->#}
{#    <input type="text" hidden name="csrftoken" value="jdfverffsddkmcf">#}
{#    <p>username:<input type="text" name="username"></p>#}
{#    <p>password:<input type="text" name="money"></p>#}
{#    <p>对方账号：<input type="text" name="others"></p>#}
{#    <input type="submit">#}
{#</form>#}
{#<button id="1">ajaz请求</button>#}
{#<script>#}
{#    $('#1').click(function(){#}
{#        $.ajax({#}
{#            url:'',#}
{#            type:'post',#}
{#            data:{'name':'jason','csrfmiddlewaretoken': $('[name=csrfmiddlewaretoken]').val()},#}
{#            success:function(data){#}
{#                console.log(data) }#}
{#        })#}
{#    })#}
{#</script>#}


{#<!--没写 {% csrf_token %} 加装饰器的视图函数前端页面(scrf_protect)-->#}
<form action="/login/" method="post">
    <!--hidden隐藏 name取的名字csrf.. value是随机字符串，
    这个随机字符串是每次请求页面都会动态刷新，也就意味着你下次提交的时候，
    input里的值我后端可以拿到，拿到之后根据这个name拿到这个value,
    然后比对以下这个value跟我之前那个value访问的一不一样，如果不一样就forbidden掉-->
    <input type="text" hidden name="csrftoken" value="jdfverffsddkmcf">
    <p>username:<input type="text" name="username"></p>
    <p>password:<input type="text" name="money"></p>
    <p>对方账号：<input type="text" name="others"></p>
    <input type="submit">
</form>
<button id="1">ajaz请求</button>
<script>
    $('#1').click(function(){
        $.ajax({
            url:'',
            type:'post',
            data:{'name':'jason','csrfmiddlewaretoken': $('[name=csrfmiddlewaretoken]').val()},
            success:function(data){
                console.log(data) }
        })
    })
</script>


</body>
</html>

打开第二个服务器，将端口号进行修改

from django.shortcuts import render

# Create your views here.

def index(request):
    return render(request ,'index.html')

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="https://cdn.bootcss.com/jquery/3.4.1/jquery.min.js"></script>

    <link href="https://cdn.bootcss.com/twitter-bootstrap/3.4.1/css/bootstrap.min.css" rel="stylesheet">
    <script src="https://cdn.bootcss.com/twitter-bootstrap/3.4.1/js/bootstrap.min.js"></script>

    <link href="https://cdn.bootcss.com/font-awesome/5.8.2/css/fontawesome.min.css" rel="stylesheet">
    <script src="https://cdn.bootcss.com/font-awesome/5.8.2/js/fontawesome.min.js"></script>

    <link href="https://cdn.bootcss.com/sweetalert/1.1.3/sweetalert.min.css" rel="stylesheet">
    <script src="https://cdn.bootcss.com/sweetalert/2.1.2/sweetalert.min.js"></script>
</head>
<body>
<h1>钓鱼网站</h1>
<form action="http://127.0.0.1:8000/index" method="post">
    <p>username:<input type="text" name="username"></p>

    <p>money:<input type="text" name="money"></p>
    <p>对方账号：<input type="text"></p>
        <input type="text" name="others" value="jason" style="display: none">
    <input type="submit">
</form>

</body>
</html>