## Django防止攻击的原理
浏览器第一次和Django服务交互的时候 Django服务会在浏览器的cookie里加入csrftoken
也会在form里加入一个隐藏值
自己也在后台保存一份设置的那个随机字符串
以后如果有比如post请求的时候 服务器会去校验浏览器带过来的值是不是和服务保存一致,不一致的话 返回给浏览器403状态码
## 使用
### 后端
全局使用(禁用) 将settings.py里的csrf中间件注释掉
局部使用或禁用
from django.views.decorators.csrf import csrf_exempt(不使用CSRF验证), csrf_protect(使用CSRF校验)
### 前端:
1 form 里加{%csrf_token%}
2 ajax 请求var csrf = $.cookie("csrftoken"); 拿cookie里面的值
~~~
<script src="//cdn.bootcss.com/jquery/3.1.1/jquery.min.js"></script>
<script src="//cdn.bootcss.com/jquery-cookie/1.4.1/jquery.cookie.js"></script>
function commit() {
var csrf = $.cookie("csrftoken");
console.log(csrf);
var u_name = $("#u_name").val();
var num = $("#num").val();
$.ajax({
url:"/t8/csrf",
method:"post",
data:{
"u_name": u_name,
"num": num,
'csrfmiddlewaretoken': csrf
},
success:function (data) {
alert(data);
}
})
}
~~~
1 解释什么是CSRF
```
跨站请求伪造Cross Site Request Forgery
```
2什么是跨站请求伪造
```
用户a 访问可信站点1做业务处理,此时浏览器会保存该网站的cookie,当用户a 访问不可信站点2时,如果站点2有指向站点1的链接时候,那么攻击就用可能发生
```
3 Django是如何实现防止攻击
```
1 当浏览器和Django服务器交互的时候 Django服务器会生成一个随机的token(字符串) 然后把这个字符串保存到浏览器的从okie里,同时在页面添加隐藏的input标签 值就是csrf_token
2 以后再和服务器做post请求的时候 前端页面要带上csrf_token
3 服务器就会去校验前端传过来的csrf_token和服务器保存是不是一致
if 不一致:
return 403 禁止访问
else:
一致的时候 正常相应
```
4 前后端怎么使用
### 后端
全局使用(禁用) 将settings.py里的csrf中间件注释掉
局部使用或禁用
from django.views.decorators.csrf import csrf_exempt(不使用CSRF验证), csrf_protect(使用CSRF校验)
### 前端:
1 form 里加{%csrf_token%}
2 ajax 请求var csrf = $.cookie("csrftoken"); 拿cookie里面的值
```
<script src="//cdn.bootcss.com/jquery/3.1.1/jquery.min.js"></script>
<script src="//cdn.bootcss.com/jquery-cookie/1.4.1/jquery.cookie.js"></script>
function commit() {
var csrf = $.cookie("csrftoken");
console.log(csrf);
var u_name = $("#u_name").val();
var num = $("#num").val();
$.ajax({
url:"/t8/csrf",
method:"post",
data:{
"u_name": u_name,
"num": num,
'csrfmiddlewaretoken': csrf
},
success:function (data) {
alert(data);
}
})
}
```