1、跨站請求偽造:CSRF
django為用戶實現:防止跨站請求偽造的功能,通過中間件 django.middleware.csrf.CsrfViewMiddleware 來完成。而對於django中設置防跨站請求偽造功能有分為全局和局部。
全局:
中間件 django.middleware.csrf.CsrfViewMiddleware
局部:
@csrf_protect,為當前函數強制設置防跨站請求偽造功能,即便settings中沒有設置全局中間件。
@csrf_exempt,取消當前函數防跨站請求偽造功能,即便settings中設置了全局中間件
注:from django.views.decorators.csrf import csrf_exempt,csrf_protect
html中設置Token:
{% csrf_token %}
view視圖返回方法:
from django.template.context import RequestContext
return render_to_response('Account/Login.html',data,context_instance=RequestContext(request)
或者
return render(request, 'xxx.html', data)
#render()方法是render_to_response的一個嶄新的快捷方式,render()方法會自動使用RequestContext=RequestContext(request)
2、Ajax
AJAX = 異步JavaScript 和 XML(Asynchronous JavaScript and XML)
簡短地說,在不重載整個網頁的情況下,AJAX 通過后台加載數據,並在網頁上進行顯示。
示例:
view.py
from django.views.decorators.csrf import csrf_protect
import json
@csrf_protect
def ajax_data(request):
if request.method == 'POST':
ret = {'status':True,'msg':"",'data':[11,22,33,44]}
try:
print request.POST
except Exception,e:
ret['status'] = False
ret['msg'] = str(e)
return HttpResponse(json.dumps(ret)) #默認只能發送字符串,用json把字典轉換成字符穿
else:
return render(request, 'ajax_app/aaa.html')
#render()方法是render_to_response的一個嶄新的快捷方式,前者會自動使用RequestContext=RequestContext(request)
aaa.html
{% csrf_token %}
<input id="ajax_id" type="text"/>
<input type="button" value="點擊執行ajax請求" onclick="myajax();"/> {#點擊時就調用myajax()函數 #}
<script src="/static/jquery-3.3.1.min.js"></script> {# #配置js文件位置 #}
<script src="/static/jquery.cookie.js"></script>
<script type="text/javascript">
var csrftokens = $.cookie('csrftoken'); //獲取當前csrftoken值
function csrfSafeMethod(method) {
// 根據請求方法判斷加不加 CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
// 發送ajax之前,執行以下這個函數
beforeSend: function(xhr, settings) { // xhr=XmlHttpRequest 對象,所有ajax請求底層操作都是使用的它來做的
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftokens);
}
}
});
function myajax(){ // 創建點擊事件函數
var temp = $('#ajax_id').val(); //獲取input標簽id=ajax_id的值,用戶輸入
var user_list = [
{'username':'yangmv','age':18},
{'username':'wj','age':28}];
$.ajax({
url:'/ajax_app/test',
type:'POST',
tradition:true, {#對數據原生處理,不做加工#}
data:{data0:temp,data1:JSON.stringify(user_list)}, {#類似以json.dumps轉換為字符串的方式#}
success:function (arg) { //arg為返回的數據
var obj = jQuery.parseJSON(arg); {#把返回的字符串數據用json.load成字典#}
if(obj.status){ //status字段為view中定義好的字段,為True
alert('okkkkk');
}else{
alert('obj.msg');
}
}
});
}
</script>
在setting.py文件中設置static文件夾路徑:
STATIC_URL = '/static/' STATICFILES_DIRS = (os.path.join(BASE_DIR, 'static'),)
CSRF with Ajax
{{ csrf_token }} # 在html這樣寫,前端就會顯示它
{% csrf_token %} # 在html這樣寫,不會顯示,但是會生成一個隱藏的input框,type=hidden
如果不是按照如上面使用jquery.cookie.js那樣的方法,沒有使用csrfSafeMethod、$.ajaxSetup;那就要在data中加入:csrfmiddlewaretoken:'{{ csrf_token }}'
function myajax(){
var temp = $('#ajax_id').val();
$.ajax({
url:'/ajax_app/test',
type:'POST',
data:{data1:temp,csrfmiddlewaretoken:'{{ csrf_token }}'},
success:function (arg) {
var obj = jQuery.parseJSON(arg);
$('#ajax_id').val(obj.msg);
},
error:function () {
alert("failed");
}
});
}
否則ajax的post請求會報錯,forbidden
Forbidden (CSRF token missing or incorrect.): /ajax_app/test