CSRF（Cross-site request forgery)跨站请求伪造，也被称为“one click attack”或者session riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。

尽管听起来像跨站脚本（XSS），但它与XSS非常不同，并且攻击方式几乎相左。XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。

与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。

Django 中自带了 防止CSRF攻击的功能，但是一些新手不知道如何使用，给自己编程带来了麻烦。

GET 请求不需要 CSRF 认证，POST 请求需要正确认证才能得到正确的返回结果。一般在POST表单中加入 {% csrf_token %}

<form method="POST" action="/post-url/">

    {% csrf_token %}

    <input name='lh' value="提交">

</form>

如果使用Ajax调用的时候，就要麻烦一些。（一般错误显示为403错误）

需要在模板文件中添加以下内容：

<script src="/static/js/jquery.cookie.js"></script>   #需要引用jquery.cookie.js（自己下载），下面要调用cookie

<script>

//ajax csrf设置

　　var csrftoken = $.cookie('csrftoken');

　　function csrfSafeMethod(method) {

   　　// these HTTP methods do not require CSRF protection

      return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));

   }

   $.ajaxSetup({

      beforeSend: function(xhr, settings) {

      　　if (!csrfSafeMethod(settings.type) && !this.crossDomain) {

          　　xhr.setRequestHeader("X-CSRFToken", csrftoken);

         }

      }

   });

</script>

Django中csrf错误的更多相关文章

1. Django 中CSRF中间件 'django.middleware.csrf.CsrfViewMiddleware',

   1.Django中CSRF中间件的工作原理及form表单提交需要添加{% csrf_token %}防止出现403错误 CSRF # 表示django全局发送post请求均需要字符串验证功能:防止跨站 ...

2. django中出现 错误 Errno 10053

   django中出现 错误 Errno 10053 pycharm里出现下面错误File "C:\Python27\lib\socket.py", line 307, in flus ...

3. Django中csrf token验证原理

   我多年没维护的博客园,有一篇初学Django时的笔记,记录了关于django-csrftoekn使用笔记,当时几乎是照抄官网的使用示例,后来工作全是用的flask.博客园也没有维护.直到我的博客收到了 ...

4. Django中ajax发送post请求，报403错误CSRF验证失败解决办法

   今天学习Django框架,用ajax向后台发送post请求,直接报了403错误,说CSRF验证失败:先前用模板的话都是在里面加一个 {% csrf_token %} 就直接搞定了CSRF的问题了:很显 ...

5. Django中的csrf基础了解

   简介 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成.而对于django中设置防跨站请求伪造功能有 ...

6. Django中Ajax提交数据的CSRF问题

   错误信息: Forbidden (CSRF token missing or incorrect.): 什么是CSRF: django为用户实现防止跨站请求伪造的功能,通过中间件 django.mid ...

7. 1205 CSRF跨站请求与django中的auth模块使用

   目录 今日内容 昨日回顾 基于配置文件的编程思想 importlib模块 简单代码实现 跨站请求伪造csrf 1. 钓鱼网站 如何实现 模拟该现象的产生 2. 解决问题 解决 {% csrf_toke ...

8. Django中的CSRF

   CSRF(Cross Site Request Forgery, 跨站域请求伪造) CSRF 背景与介绍 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的 ...

9. django中mysql数据库设置错误解决方法

   刚在django中settings.py进行设置mysql数据库. 当进行执行python manage.py shell命令时会报以下错误: 只需要在settings.py中 DATABASES = ...

随机推荐

1. Android -- 与WEB交互在同一个会话Session中通信

   Session与Cookie Cookie和Session都为了用来保存状态信息,都是保存客户端状态的机制,它们都是为了解决HTTP无状态的问题而所做的努力. Session可以用Cookie来实现, ...

2. 巧用system函数个性化屏幕显示

   函数名:system 功  能: 发出一个DOS命令 用  法: system("DOS命令");             (system函数需加头文件<stdlib.h&g ...

3. iOS 百度地图监听地图状态

   百度地图提供了地图状态的对象BMKMapStatus ///此类表示地图状态信息 @interface BMKMapStatus : NSObject { float _fLevel; // 缩放比例 ...

4. Coreseek&colon;常见的问题2

   1.failed to lock XXXXX.spl档 这是当你构建的指数将是一个问题,您不必打开searchd服务关闭,既然你开searchd维修,他将建立呼叫xxx.spl临时文件,施工时的指数会 ...

5. weblogic弱密码检测

   http://www.secbox.cn/hacker/tools/6252.html http://60.12.168.73:8088/console/login/LoginForm.jsp htt ...

6. Web App 和 Native App，哪个是趋势？

   一.Web App vs. Native App 比起手机App,网站有一些明显的优点. 跨平台:所有系统都能运行 免安装:打开浏览器,就能使用 快速部署:升级只需在服务器更新代码 超链接:可以与其他 ...

7. DHTMLX学习总结

   1.布局 Lyout = new dhtmlXLayoutObject(document.body, "2U"); 2.Grid grid.setHeader("#mas ...

8. 在arcgis使用python脚本进行字段计算时对中文的处理方案

   一.引言 在arcgis打开一个图层的属性表,可以对属性表的某个字段进行计算,但是在平常一般都是使用arcgis提供的字段计算器的界面进行傻瓜式的简答的赋值操作,并没有使用到脚本对字段值进行逻辑的操作 ...

9. js获取当前项目根路径URL （转自CSDN 红领巾-sunlight）

   /** * //获取当前项目根路径 * @return {TypeName} */ function getRootPath(){ //获取当前网址,如: http://localhost:8083/ ...

10. 初学spring&lpar;二&rpar;

      1.spring推荐使用接口编程,配合di可以达到层与层之间解耦