Django CSRF 簡述

CSRF（Cross-site request forgery），中文名稱是跨站請求偽造。什么意思呢？簡單的說，就是用戶在網站A登錄之后，網站生成了對應的Cookie等信息，然后這個時候，用戶又打開了網站B，網站B可以在提交表單的時候，指定對象的地址為網站A，這樣就對網站A提出了一個請求。

為了避免這種惡意請求，一般的方法是在客戶端生成一個Token，每次提交來的請求，服務器都會驗證這個Token之后才會放行。Django里面，默認配置文件里面有一個中間件，可以幫我們實現這個功能。

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

在前面的例子里面，我們都是注釋掉了csrf這個中間件。因為一旦使用的話，會自動在Cookie里面生成一個CSRFToken。相對應的，在模板文件里面我們也必須提供對應的csrftoken，否則提交post請求的時候，就會出現下面的錯誤。

在打開著CSRF的中間件之后，如果觀察Cookie，會發現他自動生成了一個csrftoken的鍵值對。

如何使用呢？最簡單的方式就是在模板文件的form里面添加一行 {% csrf_token %},這樣就行了

<form action="/login/" method="POST">
        {% csrf_token %}
        <input type="text" name="user" />
        <input type="text" name="pwd" />
        <input type="checkbox" name="rmb" value="1" /> 10秒免登錄
        <input type="submit" value="提交" />
        <input id="btn1" type="button" value="按鈕" />
        <input id="btn2" type="button" value="按鈕" />
    </form>

除了POST提交數據，我們還可以通過AJAX來提交數據。那么在AJAX里面應該如何使用呢？有兩種方式：

1. 可以在具體的一個AJAX請求里面添加一個header，header里面的csrftoken通過cookie獲取

   
   

$('#btn1').click(function () {
                $.ajax({
                    url: '/login/',
                    type:"GET",
                    data: {'user': 'root', 'pwd': '123'},
                    headers: {'X-CSRFtoken': $.cookie('csrftoken')},
                    success:function(arg){
                    }
                })
            });

2.我們還可以針對所有的AJAX請求統一配置，這樣在執行AJAX發送之前 會自動執行下面的代碼

$.ajaxSetup({
                beforeSend: function(xhr,settings){
                    xhr.setRequestHeader('X-CSRFtoken', $.cookie('csrftoken'));
                }
            });

除了通過中間件全局的配置CSRF，我們還可以進行局部的調整，允許或者不允許執行CSRF。

Django提供了兩個裝飾器函數 csrf_exempt 和csrf_protector。

我們如果關閉了全局的CSRF，但是又希望對個別函數進行保護，可以在對應的函數上面使用csrf_protector這個裝飾器。（不推薦）

例如：

from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_protect
def index(request):
    print(request.session)

另外一個情況就是，我們打開了全局的CSRF，但是希望對個別函數不進行保護，那么使用csrf_exempt