1.CSRF定義されました
- 信頼済みサイトへの信頼できるユーザーのアクセスから迷彩要求、(攻撃者が悪質なリクエストを送信あなたの名前に、あなたのアイデンティティを盗みました)
- 条件をプロデュース
1、用户要登录受信任的网站,并在本地生成cookie
2、在不退出安全网站的情况下,访问危险网站
(1)验证 HTTP Referer 字段;查看请求来源的地址
(2)在请求地址中添加 token 并验证;
(3)在 HTTP 头中自定义属性并验证
(4)在表单中添加from.csrf_token
2.クロスドメインの問題
- フロントエンド処理JSONP
- 背景には、事前スクリーニング(オプション)のためのシンプルな、非単純な要求であります
- 応答[ 'アクセス制御 - 許可-方法']指定cent_type、トークン
from django.middleware.security import MiddlewareMixin
class MyMiddle(MiddlewareMixin ):
def process_response(self,request,response):
if request .method=='OPTIONS':
response['Access-Control-Allow-Methods'] = '*'
response['Access-Control-Allow-Headers'] = '*'
response['Access-Control-Allow-Origin'] = '*'
return response
# 在settings里配置
# 'app01.utils.myMiddle.MyMiddle'