1、跨站请求伪造:CSRF
django为用户实现:防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。
全局:
中间件 django.middleware.csrf.CsrfViewMiddleware
局部:
@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
@csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件
注:from django.views.decorators.csrf import csrf_exempt,csrf_protect
html中设置Token:
{% csrf_token %}
view视图返回方法:
from
django.template.context
import
RequestContext
return render_to_response('Account/Login.html',data,context_instance=RequestContext(request) 或者 return render(request, 'xxx.html', data)
#render()方法是render_to_response的一个崭新的快捷方式,render()方法会自动使用RequestContext=RequestContext(request)
2、Ajax
AJAX = 异步JavaScript 和 XML(Asynchronous JavaScript and XML)
简短地说,在不重载整个网页的情况下,AJAX 通过后台加载数据,并在网页上进行显示。
CSRF with Ajax