Django的csrf中间件

时间:2024-10-25 17:07:38

csrf中间件

​ csrf 跨站请求伪造

​ 补充两个装饰器:

​ from django.views.decorators.csrf import csrf_exempt,csrf_protect

​ csrf_exempt 给视图加上装饰器后,当前的视图不需要CSRF校验

​ csrf_protect 给视图加上装饰器后,当前的视图需要CSRF校验

  1. process_request:

    从cookie中获取csrftoken的值  —— 》 request.META['CSRF_COOKIE']
  2. process_view

    1. 视图函数加上csrf_exempt装饰器,不进行CSRF校验

    2. 请求方式 是'GET', 'HEAD', 'OPTIONS', 'TRACE' 也不进行校验

    3. csrf_token = request.META.get('CSRF_COOKIE') # cookie中获取csrftoken的值

    # 获取提交的csrfmiddlewaretoken的值
    request_csrf_token = request.POST.get('csrfmiddlewaretoken', '')
    如果或许不到csrfmiddlewaretoken的值
    再尝试从请求头中获取X_CSRFTOKEN的值 —— 》request_csrf_token
    1. request_csrf_token 和 csrf_token 进行比较
      1. 能比较成功 通过校验
      2. 不能比较成功 拒绝