django前后端分离csrf验证的解决方法

最新推荐文章于 2026-05-07 18:53:31 发布
原创 最新推荐文章于 2026-05-07 18:53:31 发布 · 8.1k 阅读 · 17 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#python #django #ajax #csrf
本文介绍了两种在Django项目中解决CSRF问题的方法:一是使用ensure_csrf_cookie装饰器确保模板响应包含CSRFTOKEN;二是前后端完全分离场景下,通过专用视图函数获取并设置CSRFTOKEN。

django前后端分离csrf的解决方法

更多内容请查看 Django 防御 csrf 攻击的方式(包括ajax请求)

第一种方式ensure_csrf_cookie

  • 这种方方式使用ensure_csrf_cookie 装饰器实现,且前端页面由浏览器发送视图请求,在视图中使用render渲染模板,响应给前端,此时这个渲染模板的视图函数上要加上这个装饰器
  • 这种方式保证了模板返回时,前端接收到的响应中有csrftoken这个cookie,方法见代码
  • 以上方法并没有严格意义的前后分离,如果模板中有form表单,可以直接在模板中添加{% csrf_token %}

第二种方式

  • 前后完全分离,前端页面直接通过获取静态文件得到,然后直接发送ajax请求,得到csrftoken,此时需要一个视图函数来返回token值
def get_token(request):
	token = django.middleware.csrf.get_token(request)
	return JsonResponse({'token': token})
  • 如此即可在浏览器将token值保存在cookie中,然后通过第一种方式中取得cookie的方法获取cookie。

发送ajax请求

  • 以上方式得到csrftoken后,需要将其添加到请求头中,方法见代码
  • 此时,csrf验证不再成为阻碍
解决django前后端分离csrf验证的问题
09-19
今天小编就为大家分享一篇解决django前后端分离csrf验证的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Django前后端分离CSRF的处理方法
MSB4011的博客
05-19 652
具体方式:通过调用middleware.csrf的get_token(request)函数设置csrftoken。
React + Axios + Django前后端分离CSRF问题解决方案
05-11 5738
想直接看代码的移步GitHub: https://github.com/769484623/TestWebServer CSRF 403 Forbidden这个问题从我刚开始做这个前端登录界面的时候就遇到了,但为了不耽误学习进度关闭了DjangoCSRF验证选项。 现在快要做完了,就抽出了半天时间来解决了这个问题。 并不难其实,就是网上的资料有点不靠谱= = Django的...
CKEditor 多编辑器动态 Token 方案:彻底解决多试题图片隔离难题
最新发布
qq_35653974的博客
05-07 408
本文提出了一种针对CKEditor多编辑器场景的动态Token方案,通过自定义插件实现图片与编辑批次的精准绑定。该方案采用低侵入式设计,通过劫持上传请求自动追加批次Token,解决了多编辑器图片串用和误删问题。核心实现包括:1)自定义插件拦截上传请求并注入Token;2)前端动态生成和刷新Token机制;3)后端存储关联Token与图片。相比原生CSRF Token,该方案支持按批次隔离图片,实现了更精细的资源管理,适用于试卷编辑等需要多编辑器协同的场景。
Django框架(二十四:前后端分离之分页的设置和csrf认证的解决
qq_41989320的博客
12-03 2580
前后端分离开发和混合开发的区别还是很大的。前后端分离我们需要遵循restful规范,先介绍什么是restful api规范 a.同一种数据的操作,只设置一个url路由。也就是根据请求方法来区分具体的处理逻辑。而不再设置多个增删改查的路由。 (1)可以基于FBV来通过请求方法的不同,处理不同的逻辑。 url(r'^order/', views.order), ...
django前后端分离csrf解决办法
qq_42402381的博客
08-30 3450
之前学习django时,总是把那个csrf的中间件注释掉,现在把这个bug修复吧。 1.定义csrftoken接口,主要是为前端设置csrftoken,相关代码如下: from django.middleware.csrf import get_token def getToken(request): token=get_token(request) return Http...
DjangoCSRF原理及应用详解
热门推荐
AlexGeek
09-22 1万+
 Web开发中十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造(CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
解决Django+Vue前后端分离的跨域问题及关闭csrf验证
w36680130的博客
04-27 285
解决Django+Vue前后端分离的跨域问题及关闭csrf验证
axios异步请求如何设置通过djangocsrf验证
Just for fun的专栏
10-06 1192
问题描述:最近在使用vue全家桶开发前端,后端框架是django,我在使用axios做前端异步请求时,除了get之外的请求方法django都会返回403状态码,表单总是提交不上去。分析原因:通过chrome浏览器的network中,了解到是csrf的认证没有通过,所以被拒绝提交。我之前对csrf攻击和防范的原理不太了解,在axios的异步请求配置里也没有做特别的处理,所以请求被django拒绝了。...
Django CSRF(什么是CSRF?)\Django前后端分离csrf token获取方式
西京刀客
12-07 2075
Django CSRF 浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie浏览器的同源策略并不能阻止CSRF攻击。 什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是跨站请求伪造。 Django CSRF django为用户实现防止跨站请求伪造的功能,通过中间件django.middleware.csrf.CsrfViewMiddle
django vue 前后端分离csrf验证问题
做最好的自己
11-02 4391
django vue-cli3 前后端分离csrf验证前言vue配置部分文件axios.js组件调用部分示例django配置部分views示例 前言 之前写过单独的一篇相关django跨域配置部分配置,故这里忽略。 vue配置部分 文件axios.js let config = { baseURL: 'http://localhost:8000/', xsrfCookieName...
Django网络安全】如何正确防护CSRF跨站点请求伪造_drf csrf
2301_77033672的博客
04-28 1027
CSRF(Cross-site request forgery),中文名跨站点请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器中的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
Djangocsrf-token验证原理
bocai_xiaodaidai的博客
09-19 2863
众所周知,django通过CsrfViewMiddleware中间件来下发和校验csrf-token有效性的。 那么,这个中间到底是怎么实现token校验的呢? 首先,django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 csrftoken,并把这个 csrftoken 放在 cookie 里。然后每次 POST 请求都会带上这个 csrftoken。(这个csrftoken的有效期非常长(52周)) 在前后端分离django项目中,可以通过{%csrf_token%}标签在表
最新【Django网络安全】如何正确防护CSRF跨站点请求伪造_drf csrf
2401_84281748的博客
05-04 1142
CsrfViewMiddleware中间件使用的情况下,通过中间件的process_request方法获取请求cookie中的csrftoken,通过process_view获取post、put、delete请求cookie中的csrftoken和表单中的csrfmiddlewaretoken并进行校验(不通过就是403),通过process_response设置cookiecsrftoken参数(需要登录)。主要是CSRF_USE_SESSIONS 和 CSRF_COOKIE_HTTPONLY参数。
Django CSRF
光明小学王小雨的博客
12-16 2091
一、CSRF攻击攻击原理及过程 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式 1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B...
Django前端获取 csrftoken 的几种方式以及源码解释(超详细)
她°
06-10 5557
如果是前后端分离的项目,django 为了防止 XSS 攻击,要求所有 form 表单提交时加上 标签,前端会再 html 中加入一个 input 标签 这个中间件就是来验证 csrf_token 如果没有加,就会出错,这个 token 每次刷新页面时都会刷新,客户在请求时。会再服务器端生成一个 token,然后放在 cookie里面,每次 post 请求都会带上这个 token,去和表单里面的去对比。官⽅⽂档中说到,检验token时,只⽐较secret是否和cookie中的secret值⼀样,⽽不是
前端页面获取不到后端设置的cookie
wzq1915414095的博客
02-05 2898
这种直接用浏览器打开本地html文件的方式是没办法获取后端设置的cookie的,必须将html部署到web服务器,然后通过url的方式访问才行。原因之一:直接双击html文件用浏览器打开时是获取不到后端设置的cookie的。前端页面获取不到后端设置的cookie
DjangoCSRF作用
高压锅博客
05-20 578
1. CSRF是什么 跨站请求伪造(CSRF)与跨站请求脚本正好相反。跨站请求脚本的问题在于,客户端信任服务器端发送的数据。跨站请求伪造的问题在于,服务器信任来自客户端的数据。 2. Form提交(CSRF) 那么在DjangoCSRF验证大体是一个什么样的原理呢?下面通过一个小例子来简单说明一下: 我们把DjangoCSRF中间件开启(在settings.py中) 'django.middleware.csrf.CsrfViewMiddleware' 3. 前端写法 而csrf验证其实是对http请
django的crsf机制防御详解及在前后端分离中post数据到django-vue
weixin_30588675的博客
12-01 393
django的crsf机制防御详解及在前后端分离中post数据到django 更新于:2018-07-28|分类于django CSRF(Cross Site Request Forgery) 跨站点伪造请求 某个用户已经登陆了你的网站,另外有一个恶意的网站有一个指向你网站的链接,那么当用户点击这个链接时,就会请求你的网站,但是你的网站以为是用户发来的请求,这时恶意网站就得逞...
Django 前后端分离项目中CSRF报403解决方法
m0_52168095的博客
11-20 650
允许跨域发送cookie,因为Django 验证csrf需要验证cookie,同时这里Django后端也要配置允许跨域发送cookie。(我这里用的是TS脚本,所以多定义了一个CSRFBACK来控制解析方法的返回值。于是从研究Django验证机制的原理出发,终于找到解决方案。MIDDLEWARE 中'django.middleware.csrf.CsrfViewMiddleware'有了csrf token后,根据官方文档在post请求时要将其放入请求头的。前后端分离项目主要前端首先要拿到csrf令牌,
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值