1.Django CSRF的原理

CSRF（Cross Site Request Forgery）也就是跨站請(qǐng)求偽造，實(shí)現(xiàn)的原理是CSRF攻擊者在用戶已經(jīng)登錄目標(biāo)網(wǎng)站之后，誘使用戶訪問(wèn)一個(gè)攻擊頁(yè)面，利用目標(biāo)網(wǎng)站對(duì)用戶的信任，以用戶身份在攻擊頁(yè)面對(duì)目標(biāo)網(wǎng)站發(fā)起偽造用戶操作的請(qǐng)求，達(dá)到攻擊目的；

創(chuàng)新互聯(lián)網(wǎng)絡(luò)公司擁有十載的成都網(wǎng)站開(kāi)發(fā)建設(shè)經(jīng)驗(yàn)，1000+客戶的共同信賴。提供網(wǎng)站設(shè)計(jì)制作、成都網(wǎng)站設(shè)計(jì)、網(wǎng)站開(kāi)發(fā)、網(wǎng)站定制、買(mǎi)友情鏈接、建網(wǎng)站、網(wǎng)站搭建、響應(yīng)式網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)師打造企業(yè)風(fēng)格，提供周到的售前咨詢和貼心的售后服務(wù)

2.CSRF認(rèn)證

• 在項(xiàng)目的settings文件中有一個(gè)配置項(xiàng)MIDDLEWARE，表示默認(rèn)Django啟用csrf認(rèn)證；

'django.middleware.csrf.CsrfViewMiddleware'

• 當(dāng)頁(yè)面為form表單提交時(shí)，一般都需要在form標(biāo)簽中加上 {% csrf_token %} ，如果第一次表單提交的時(shí)候帶上了 csrf_token ，服務(wù)器端就會(huì)認(rèn)為這個(gè)是可信任的用戶，所以如果第二次提交時(shí)form表單去掉 csrf_token ，但是瀏覽器請(qǐng)求時(shí)會(huì)帶上之前表單第一次提交時(shí)中的 csrf_token ，服務(wù)器端默認(rèn)信任這個(gè) csrf_token ；

{#  #}
    
    
    {% csrf_token %}

• 如果在settings文件中將csrf的中間件注釋?zhuān)敲磃orm表單提交，將不再需要csrf token認(rèn)證；

3.CSRF局部禁用

• 為了避免沒(méi)有csrf token而產(chǎn)生的403的forbidden錯(cuò)誤問(wèn)題，通常使用 django.views.decorators.csrf.csrf_exempt 裝飾器來(lái)修飾這個(gè)處理POST請(qǐng)求的View, 這種方式是CSRF局部禁用；

from django.views.generic import View
from django.utils.decorators import method_decorator
from django.views.decorators.csrf import csrf_exempt
class CSRFTestView(View):
    @method_decorator(csrf_exempt)
    def dispatch(self, request, *args, **kwargs):
        return super().dispatch(request, *args, **kwargs)
    def post(self, request):
        pass

• 局部啟用可以使用 csrf_protect ，需要先在settings文件注釋 CsrfViewMiddleware ；

from django.views.generic import View
from django.utils.decorators import method_decorator
from django.views.decorators.csrf import csrf_protect
class CSRFTestView(View):
    @method_decorator(csrf_protect)
    def dispatch(self, request, *args, **kwargs):
        return super().dispatch(request, *args, **kwargs)
    def post(self, request):
        pass

• 如果需要禁用Django CSRF功能項(xiàng)目都是啟用全局的CSRF中間件，針對(duì)局部的View進(jìn)行禁用；

4.Postman

Postman是一種網(wǎng)頁(yè)調(diào)試與發(fā)送網(wǎng)頁(yè)http請(qǐng)求的chrome插件，可以用來(lái)很方便的模擬get、post、put、patch、delete、copy等多種方式的請(qǐng)求來(lái)調(diào)試接口；
postman可用作macOS，Windows和Linux操作系統(tǒng)的本機(jī)應(yīng)用程序。Windows系統(tǒng)下安裝postman只需要下載安裝文件，然后運(yùn)行安裝程序就可以了；

Postman的下載地址 ： https://www.getpostman.com/downloads/

參考： https://www.9xkd.com/user/plan-view.html?id=1091380484

名稱(chēng)欄目：Django啟用和禁用CSRF功能-創(chuàng)新互聯(lián)
轉(zhuǎn)載源于：http://weahome.cn/article/djocss.html