Django 및 AJAX 요청에 CSRF 보호 사용-파이썬 튜토리얼-php.cn

집

백엔드 개발

파이썬 튜토리얼

Django 및 AJAX 요청에 CSRF 보호 사용

DDD

Jan 07, 2025 pm 06:15 PM

Using CSRF Protection with Django and AJAX Requests

CSRF 보호로 Django AJAX 요청 보호

django-admin startproject로 프로젝트를 생성할 때 기본적으로 활성화되는 Django의 내장 CSRF(Cross-Site Request Forgery) 보호 기능은 CSRF 토큰을 활용하여 악의적인 요청으로부터 보호합니다. 이 미들웨어는 settings.py.

에 추가됩니다.

Django 애플리케이션에 대한 모든 POST 요청에는 유효한 CSRF 토큰이 필요합니다. Django 템플릿에서는 POST 메서드를 사용하여 모든 양식에 {% csrf_token %}를 포함함으로써 이를 달성합니다. 그러나 별도의 프런트엔드 AJAX 요청으로 CSRF 보호를 처리하려면 다른 접근 방식이 필요합니다.

이 튜토리얼에서는 별도의 프런트엔드에서 AJAX 요청으로 간단한 Django 애플리케이션을 보호하는 방법을 보여줍니다.

애플리케이션 설정

우리의 예시 애플리케이션에는 두 개의 엔드포인트가 있습니다.

GET /get-picture: 서버에 저장된 이미지의 URL을 검색합니다.
POST /set-picture: 서버에 저장된 이미지의 URL을 업데이트합니다.

간결함을 위해 오류 처리는 생략되었습니다. 초기 백엔드 코드(urls.py 내)는 다음과 같습니다.

from django.urls import path
from django.http import JsonResponse
import json

picture_url = "https://picsum.photos/id/247/720/405"

def get_picture(request):
    return JsonResponse({"picture_url": picture_url})

def set_picture(request):
    if request.method == "POST":
        global picture_url
        picture_url = json.loads(request.body)["picture_url"]
        return JsonResponse({"picture_url": picture_url})

urlpatterns = [
    path("get-picture", get_picture),
    path("set-picture", set_picture)
]

해당 프런트엔드 기능(단순화):

// GET request to retrieve the image URL
async function get_picture() {
    const res = await fetch("http://localhost:8000/get-picture");
    const data = await res.json();
    return data.picture_url;
}

// POST request to update the image URL
async function set_picture(picture_url) {
    const res = await fetch("http://localhost:8000/set-picture", {
        method: "POST",
        body: JSON.stringify({ "picture_url": picture_url })
    });
}

CORS(Cross-Origin Resource Sharing)를 처리하기 위해 django-cors-headers 패키지를 사용합니다.

CORS 및 CSRF 보호 활성화

설치 django-cors-headers:

pip install django-cors-headers

구성 settings.py:

INSTALLED_APPS = [
    "corsheaders",
    # ... other apps
]

MIDDLEWARE = [
    "corsheaders.middleware.CorsMiddleware",
    # ... other middleware
]

CORS_ALLOWED_ORIGINS = ["http://localhost:4040"] # Adjust port as needed
CSRF_TRUSTED_ORIGINS = ["http://localhost:4040"] # Add your frontend origin

이제 GET 요청은 올바르게 작동하지만 POST 요청은 CSRF 보호로 인해 실패합니다. 이 문제를 해결하려면 CSRF 토큰을 수동으로 관리해야 합니다.

CSRF 토큰 가져오기 및 사용

CSRF 토큰을 제공하기 위한 새 보기를 만듭니다.

from django.views.decorators.csrf import ensure_csrf_cookie
from django.http import JsonResponse

@ensure_csrf_cookie
def get_csrf_token(request):
    return JsonResponse({"success": True})

urlpatterns = [
    # ... other paths
    path("get-csrf-token", get_csrf_token),
]

토큰을 가져오도록 프런트엔드 업데이트(js-cookie 사용):

fetch("http://localhost:8000/get-csrf-token", { credentials: "include" });

credentials: "include" 옵션은 브라우저가 모든 Set-Cookie 헤더를 처리하고 csrftoken 쿠키를 저장하도록 합니다. 브라우저 개발자 도구의 네트워크 탭을 검사하여 쿠키가 설정되어 있는지 확인하세요.

POST 요청 수정

마지막으로 헤더에 CSRF 토큰을 포함하도록 set_picture 함수를 수정합니다.

async function set_picture(picture_url) {
    const res = await fetch("http://localhost:8000/set-picture", {
        method: "POST",
        credentials: "include",
        headers: {
            'X-CSRFToken': Cookies.get("csrftoken")
        },
        body: JSON.stringify({ "picture_url": picture_url })
    });
}

이렇게 하면 X-CSRFToken 쿠키의 값이 포함된 csrftoken 헤더가 추가되어 성공적인 POST 요청이 가능해집니다.

중요 고려사항

이 접근 방식에는 특히 프런트엔드와 백엔드를 서로 다른 도메인에 배포할 때 제한이 있습니다. 브라우저 보안 정책으로 인해 타사 쿠키의 설정이나 액세스가 차단되어 CSRF 토큰 관리에 영향을 미칠 수 있습니다.

리소스

위 내용은 Django 및 AJAX 요청에 CSRF 보호 사용의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

Python의 병합 목록 : 올바른 메소드 선택May 14, 2025 am 12:11 AM

Tomergelistsinpython, youcanusethe operator, extendmethod, listcomprehension, oritertools.chain, 각각은 각각의 지위를 불러 일으킨다

Python 3에서 두 목록을 연결하는 방법은 무엇입니까?May 14, 2025 am 12:09 AM

Python 3에서는 다양한 방법을 통해 두 개의 목록을 연결할 수 있습니다. 1) 작은 목록에 적합하지만 큰 목록에는 비효율적입니다. 2) 메모리 효율이 높지만 원래 목록을 수정하는 큰 목록에 적합한 확장 방법을 사용합니다. 3) 원래 목록을 수정하지 않고 여러 목록을 병합하는 데 적합한 * 운영자 사용; 4) 메모리 효율이 높은 대형 데이터 세트에 적합한 itertools.chain을 사용하십시오.

Python은 문자열을 연결합니다May 14, 2025 am 12:08 AM

join () 메소드를 사용하는 것은 Python의 목록에서 문자열을 연결하는 가장 효율적인 방법입니다. 1) join () 메소드를 사용하여 효율적이고 읽기 쉽습니다. 2)주기는 큰 목록에 비효율적으로 운영자를 사용합니다. 3) List Comprehension과 Join ()의 조합은 변환이 필요한 시나리오에 적합합니다. 4) READE () 방법은 다른 유형의 감소에 적합하지만 문자열 연결에 비효율적입니다. 완전한 문장은 끝납니다.

파이썬 실행, 그게 뭐야?May 14, 2025 am 12:06 AM

pythonexecutionissprocessoftransformingpythoncodeintoExecutableInstructions.1) the -interreadsTheCode, ConvertingItintoByTecode, thethepythonVirtualMachine (pvm)을 실행합니다

파이썬 : 주요 기능은 무엇입니까?May 14, 2025 am 12:02 AM

Python의 주요 특징은 다음과 같습니다. 1. 구문은 간결하고 이해하기 쉽고 초보자에게 적합합니다. 2. 개발 속도 향상, 동적 유형 시스템; 3. 여러 작업을 지원하는 풍부한 표준 라이브러리; 4. 광범위한 지원을 제공하는 강력한 지역 사회와 생태계; 5. 스크립팅 및 빠른 프로토 타이핑에 적합한 해석; 6. 다양한 프로그래밍 스타일에 적합한 다중-파라 디그 지원.

파이썬 : 컴파일러 또는 통역사?May 13, 2025 am 12:10 AM

Python은 해석 된 언어이지만 편집 프로세스도 포함됩니다. 1) 파이썬 코드는 먼저 바이트 코드로 컴파일됩니다. 2) 바이트 코드는 Python Virtual Machine에 의해 해석되고 실행됩니다. 3)이 하이브리드 메커니즘은 파이썬이 유연하고 효율적이지만 완전히 편집 된 언어만큼 빠르지는 않습니다.

루프 대 루프를위한 파이썬 : 루프시기는 언제 사용해야합니까?May 13, 2025 am 12:07 AM

USEAFORLOOPHENTERATINGOVERASERASERASPECIFICNUMBEROFTIMES; USEAWHILLOOPWHENTINUTIMONDITINISMET.FORLOOPSAREIDEALFORKNOWNSEDINGENCENCENS, WHILEWHILELOOPSSUITSITUATIONS WITHERMINGEDERITERATIONS.

파이썬 루프 : 가장 일반적인 오류May 13, 2025 am 12:07 AM

Pythonloopscanleadtoerrors likeinfiniteloops, modifyinglistsdizeration, off-by-by-byerrors, zero-indexingissues, andnestedloopineficiencies.toavoidthese : 1) aing'i

See all articles