Django框架基础之XSS攻击和CSRF攻击

xss攻击：
跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS
恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用
户的目的。

解决方法：
        - 慎用 safe和mark_safe
        - 非要用，一定要过滤关键字

class comment(View):
    def get(self,request):
        return render(request,'comment.html')
    def post(self,request):
        v=request.POST.get('content')
        if 'script' in v:
            return render(request,'comment.html',{'error':'小臂崽子还黑我'})
        else:
            msg.append(v)
            return render(request,'comment.html')

class info(View):
    def get(self,request):
        # return render(request,'info.html',{'msg':msg})

        from django.utils.safestring import mark_safe
        temp="<a href='http://www.baidu.com'>百度</a>"
        newtemp=mark_safe(temp)
        return render(request,'info.html',{'newtemp':newtemp})

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，
是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信
任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被
认为比XSS更具危险性。

a. 基本应用
           form表单中添加
           {% csrf_token %}

b. 全站禁用
             # 'django.middleware.csrf.CsrfViewMiddleware',

c. 局部禁用
             'django.middleware.csrf.CsrfViewMiddleware',

             from django.views.decorators.csrf import csrf_exempt

             @csrf_exempt
             def csrf1(request):

                   pass
d. 局部使用
              # 'django.middleware.csrf.CsrfViewMiddleware',

                 from django.views.decorators.csrf import csrf_exempt,csrf_protect

                 @csrf_protect
                 def csrf1(request):

c. 特殊CBV
                 from django.views import View
                  from django.utils.decorators import method_decorator

                 @method_decorator(csrf_protect,name='dispatch')
                 class Foo(View):

                  def get(self,request):
                   pass

                  def post(self,request):
                  pass

在Django框架中， 在开启了csrf验证服务后，必须在文档的form表单中获取随机码，form表单的内容才能提交

用户使用get请求访问网页时，服务端会发送随机码到网页中当用户提交form表单，不仅会提交服务端生成的随机码，
也会在cookie中生成一个CSRF键值对

Ajax提交数据时候，携带CSRF：

                  a. 将CSRF放置在data中携带

function foo(){
        var csrf=$('input[name="csrfmiddlewaretoken"]').val();
        var name=$('#user').val();
        $.ajax({
            url:'/bar.html',
            type:'POST',
            data:{ 'user':name,'csrfmiddlewaretoken':csrf},
            success:function (arg){
                console.log(arg)
        }
        })
    }





{% csrf_token %}
<input id="user" type="text" name="user" />
<input type="submit" value="提交"/>
<a onclick="submitForm();">Ajax提交</a>

                  b. 将cookie放在请求头中携带

{% csrf_token %}
<input type="text" id='user' name="user">
<input type="submit" value="提交">
<a onclick="foo()">ajax提交</a>


function foo(){
    var token=$.cookie('csrftoken');
    var name=$('#user').val();
    $.ajax({
        url:'/bar.html',
        type:'POST',
        headers:{'X-CSRFToken':token},
        data:{ 'user':name},
        success:function (arg){
            console.log(arg)
    }
    })
}