Verwenden des CSRF-Schutzes mit Django- und AJAX-Anfragen-Python-Tutorial-php.cn

Heim

Backend-Entwicklung

Python-Tutorial

Verwenden des CSRF-Schutzes mit Django- und AJAX-Anfragen

DDD

Jan 07, 2025 pm 06:15 PM

Using CSRF Protection with Django and AJAX Requests

Django AJAX-Anfragen mit CSRF-Schutz sichern

Djangos integrierter CSRF-Schutz (Cross-Site Request Forgery), der beim Erstellen eines Projekts mit django-admin startproject standardmäßig aktiviert ist, nutzt ein CSRF-Token zum Schutz vor böswilligen Anfragen. Diese Middleware wird zu Ihrem settings.py.

hinzugefügt

Jede POST-Anfrage an Ihre Django-Anwendung erfordert ein gültiges CSRF-Token. In Django-Vorlagen wird dies erreicht, indem {% csrf_token %} mithilfe der POST-Methode in jedes Formular eingefügt wird. Die Handhabung des CSRF-Schutzes mit separaten Front-End-AJAX-Anfragen erfordert jedoch einen anderen Ansatz.

Dieses Tutorial zeigt die Sicherung einer einfachen Django-Anwendung mit AJAX-Anfragen von einem separaten Frontend.

Anwendungs-Setup

Unsere Beispielanwendung verfügt über zwei Endpunkte:

GET /get-picture: Ruft die URL eines auf dem Server gespeicherten Bildes ab.
POST /set-picture: Aktualisiert die URL des auf dem Server gespeicherten Bildes.

Der Einfachheit halber wird auf die Fehlerbehandlung verzichtet. Der anfängliche Backend-Code (in urls.py) lautet wie folgt:

from django.urls import path
from django.http import JsonResponse
import json

picture_url = "https://picsum.photos/id/247/720/405"

def get_picture(request):
    return JsonResponse({"picture_url": picture_url})

def set_picture(request):
    if request.method == "POST":
        global picture_url
        picture_url = json.loads(request.body)["picture_url"]
        return JsonResponse({"picture_url": picture_url})

urlpatterns = [
    path("get-picture", get_picture),
    path("set-picture", set_picture)
]

Die entsprechenden Frontend-Funktionen (vereinfacht):

// GET request to retrieve the image URL
async function get_picture() {
    const res = await fetch("http://localhost:8000/get-picture");
    const data = await res.json();
    return data.picture_url;
}

// POST request to update the image URL
async function set_picture(picture_url) {
    const res = await fetch("http://localhost:8000/set-picture", {
        method: "POST",
        body: JSON.stringify({ "picture_url": picture_url })
    });
}

Um Cross-Origin Resource Sharing (CORS) zu handhaben, verwenden wir das django-cors-headers-Paket.

Aktivieren des CORS- und CSRF-Schutzes

Installieren django-cors-headers:

pip install django-cors-headers

Konfigurieren settings.py:

INSTALLED_APPS = [
    "corsheaders",
    # ... other apps
]

MIDDLEWARE = [
    "corsheaders.middleware.CorsMiddleware",
    # ... other middleware
]

CORS_ALLOWED_ORIGINS = ["http://localhost:4040"] # Adjust port as needed
CSRF_TRUSTED_ORIGINS = ["http://localhost:4040"] # Add your frontend origin

Während GET-Anfragen jetzt ordnungsgemäß funktionieren, schlagen POST-Anfragen aufgrund des CSRF-Schutzes fehl. Um dieses Problem zu beheben, müssen wir CSRF-Tokens manuell verwalten.

Abrufen und Verwenden des CSRF-Tokens

Erstellen Sie eine neue Ansicht, um das CSRF-Token bereitzustellen:

from django.views.decorators.csrf import ensure_csrf_cookie
from django.http import JsonResponse

@ensure_csrf_cookie
def get_csrf_token(request):
    return JsonResponse({"success": True})

urlpatterns = [
    # ... other paths
    path("get-csrf-token", get_csrf_token),
]

Aktualisieren Sie das Frontend, um das Token abzurufen (mit js-cookie):

fetch("http://localhost:8000/get-csrf-token", { credentials: "include" });

Die Option credentials: "include" stellt sicher, dass der Browser alle Set-Cookie-Header verarbeitet und das csrftoken-Cookie speichert. Überprüfen Sie die Registerkarte „Netzwerk“ in den Entwicklertools Ihres Browsers, um sicherzustellen, dass das Cookie gesetzt ist.

Ändern der POST-Anfrage

Ändern Sie abschließend die Funktion set_picture, um das CSRF-Token in den Header aufzunehmen:

async function set_picture(picture_url) {
    const res = await fetch("http://localhost:8000/set-picture", {
        method: "POST",
        credentials: "include",
        headers: {
            'X-CSRFToken': Cookies.get("csrftoken")
        },
        body: JSON.stringify({ "picture_url": picture_url })
    });
}

Dadurch wird der X-CSRFToken-Header mit dem Wert aus dem csrftoken-Cookie hinzugefügt und ermöglicht so erfolgreiche POST-Anfragen.

Wichtige Überlegungen

Dieser Ansatz weist Einschränkungen auf, insbesondere wenn das Front-End und das Back-End auf unterschiedlichen Domänen bereitgestellt werden. Browser-Sicherheitsrichtlinien verhindern möglicherweise das Setzen oder Zugreifen auf Cookies von Drittanbietern, was sich auf die CSRF-Token-Verwaltung auswirkt.

Ressourcen

Das obige ist der detaillierte Inhalt vonVerwenden des CSRF-Schutzes mit Django- und AJAX-Anfragen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme

Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn

Verwandter Artikel

Python vs. C: Verständnis der wichtigsten UnterschiedeApr 21, 2025 am 12:18 AM

Python und C haben jeweils ihre eigenen Vorteile, und die Wahl sollte auf Projektanforderungen beruhen. 1) Python ist aufgrund seiner prägnanten Syntax und der dynamischen Typisierung für die schnelle Entwicklung und Datenverarbeitung geeignet. 2) C ist aufgrund seiner statischen Tipp- und manuellen Speicherverwaltung für hohe Leistung und Systemprogrammierung geeignet.

Python vs. C: Welche Sprache für Ihr Projekt zu wählen?Apr 21, 2025 am 12:17 AM

Die Auswahl von Python oder C hängt von den Projektanforderungen ab: 1) Wenn Sie eine schnelle Entwicklung, Datenverarbeitung und Prototypdesign benötigen, wählen Sie Python. 2) Wenn Sie eine hohe Leistung, eine geringe Latenz und eine schließende Hardwarekontrolle benötigen, wählen Sie C.

Erreichen Sie Ihre Python -Ziele: Die Kraft von 2 Stunden täglichApr 20, 2025 am 12:21 AM

Indem Sie täglich 2 Stunden Python -Lernen investieren, können Sie Ihre Programmierkenntnisse effektiv verbessern. 1. Lernen Sie neues Wissen: Lesen Sie Dokumente oder sehen Sie sich Tutorials an. 2. Üben: Schreiben Sie Code und vollständige Übungen. 3. Überprüfung: Konsolidieren Sie den Inhalt, den Sie gelernt haben. 4. Projektpraxis: Wenden Sie an, was Sie in den tatsächlichen Projekten gelernt haben. Ein solcher strukturierter Lernplan kann Ihnen helfen, Python systematisch zu meistern und Karriereziele zu erreichen.

Maximieren 2 Stunden: Effektive Strategien für Python -LernstrategienApr 20, 2025 am 12:20 AM

Zu den Methoden zum effizienten Erlernen von Python innerhalb von zwei Stunden gehören: 1. Überprüfen Sie das Grundkenntnis und stellen Sie sicher, dass Sie mit der Python -Installation und der grundlegenden Syntax vertraut sind. 2. Verstehen Sie die Kernkonzepte von Python wie Variablen, Listen, Funktionen usw.; 3.. Master Basic und Advanced Nutzung unter Verwendung von Beispielen; 4.. Lernen Sie gemeinsame Fehler und Debugging -Techniken; 5. Wenden Sie Leistungsoptimierung und Best Practices an, z. B. die Verwendung von Listenfunktionen und dem Befolgen des Pep8 -Stilhandbuchs.

Wählen Sie zwischen Python und C: Die richtige Sprache für SieApr 20, 2025 am 12:20 AM

Python ist für Anfänger und Datenwissenschaften geeignet und C für Systemprogramme und Spieleentwicklung geeignet. 1. Python ist einfach und einfach zu bedienen, geeignet für Datenwissenschaft und Webentwicklung. 2.C bietet eine hohe Leistung und Kontrolle, geeignet für Spieleentwicklung und Systemprogrammierung. Die Wahl sollte auf Projektbedürfnissen und persönlichen Interessen beruhen.

Python vs. C: Eine vergleichende Analyse von ProgrammiersprachenApr 20, 2025 am 12:14 AM

Python eignet sich besser für Datenwissenschaft und schnelle Entwicklung, während C besser für Hochleistungen und Systemprogramme geeignet ist. 1. Python -Syntax ist prägnant und leicht zu lernen, geeignet für die Datenverarbeitung und wissenschaftliches Computer. 2.C hat eine komplexe Syntax, aber eine hervorragende Leistung und wird häufig in der Spieleentwicklung und der Systemprogrammierung verwendet.

2 Stunden am Tag: Das Potenzial des Python -LernensApr 20, 2025 am 12:14 AM

Es ist machbar, zwei Stunden am Tag zu investieren, um Python zu lernen. 1. Lernen Sie neues Wissen: Lernen Sie in einer Stunde neue Konzepte wie Listen und Wörterbücher. 2. Praxis und Übung: Verwenden Sie eine Stunde, um Programmierübungen durchzuführen, z. B. kleine Programme. Durch vernünftige Planung und Ausdauer können Sie die Kernkonzepte von Python in kurzer Zeit beherrschen.

Python vs. C: Lernkurven und BenutzerfreundlichkeitApr 19, 2025 am 12:20 AM

Python ist leichter zu lernen und zu verwenden, während C leistungsfähiger, aber komplexer ist. 1. Python -Syntax ist prägnant und für Anfänger geeignet. Durch die dynamische Tippen und die automatische Speicherverwaltung können Sie die Verwendung einfach zu verwenden, kann jedoch zur Laufzeitfehler führen. 2.C bietet Steuerung und erweiterte Funktionen auf niedrigem Niveau, geeignet für Hochleistungsanwendungen, hat jedoch einen hohen Lernschwellenwert und erfordert manuellem Speicher und Typensicherheitsmanagement.

See all articles