Django ajax Post csrf方法


什么是CSRF

中文翻译:跨站请求伪造,Cross-site request forgery。
主要目的是WEB安全,为防止恶意站点伪造http请求向目标站点攻击。

django应对CSRF

为防御CSRF攻击,django使用在响应给浏览器的报文里加入一随机字符串(在表单的hidden字段或cookie),用户操作要提交表单时把那串字符串也一起带上,服务端收到后校验是否匹配来识别是否合法。

django通过中间件 django.middleware.csrf.CsrfViewMiddleware来提供保护。而对于django中设置防跨站请求伪造功能有分为全局和局部。
中间件 django.middleware.csrf.CsrfViewMiddleware
局部视图可用如下装饰器:
@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
@csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

from django.views.decorators.csrf import csrf_exempt,csrf_protect

前端Ajax Post

如果服务端对Post启用了csrf防御,那么前端ajax提交post时需要加入以下代码才能成功提交;否则会出现403, csrf verification fail.

function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');

function csrfSafeMethod(method) {
    // 这些HTTP方法不要求CSRF包含
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
    beforeSend: function(xhr, settings) {
        if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken);
        }
    }
});

后端视图启用

手动将csrftoken写入cookie的方法

  1. 在HTML模板中添加 {% csrf_token %}
  2. 在需要设置cookie的视图上加装饰器ensure_csrf_cookie()
  3. 在视图中调用 csrf 中的 get_token(request) 或 rotate_token(request) 方法。
from django.views.decorators.csrf import ensure_csrf_cookie

# 向模板视图写入csrf到cookie
def myview(request):
    get_token(request) #  or rotate_token(request)
    return render(request, 'myview.html')

# 向返回json的REST Api加入csrf到cookie
def getApi(request):
    from django.middleware import csrf
    csrf.get_token(request)
    return HttpResponse(
            json.dumps({
                'result': 0, 
                'desc': 'success', 
            }),
            content_type="application/json"
        )
/latefirstcmt/10