將 CSRF 保護與 Django 和 AJAX 請求結合使用-Python教學-PHP中文網

首頁

後端開發

Python教學

將 CSRF 保護與 Django 和 AJAX 請求結合使用

DDD

Jan 07, 2025 pm 06:15 PM

Using CSRF Protection with Django and AJAX Requests

透過 CSRF 保護保護 Django AJAX 請求

Django 的內建 CSRF（跨站請求偽造）保護在使用 django-admin startproject 建立專案時預設啟用，利用 CSRF 令牌來防範惡意請求。此中間件已新增至您的 settings.py.

對 Django 應用程式的每個 POST 請求都需要有效的 CSRF 令牌。在 Django 範本中，這是透過使用 POST 方法在任何表單中包含 {% csrf_token %} 來實現的。然而，使用單獨的前端 AJAX 請求處理 CSRF 保護需要不同的方法。

本教學示範使用來自單獨前端的 AJAX 請求來保護簡單的 Django 應用程式。

應用程式設定

我們的範例應用程式有兩個端點：

GET /get-picture：擷取儲存在伺服器上的映像的 URL。
POST /set-picture：更新儲存在伺服器上的映像的 URL。

為了簡單起見，省略了錯誤處理。初始後端程式碼（在urls.py中）如下：

from django.urls import path
from django.http import JsonResponse
import json

picture_url = "https://picsum.photos/id/247/720/405"

def get_picture(request):
    return JsonResponse({"picture_url": picture_url})

def set_picture(request):
    if request.method == "POST":
        global picture_url
        picture_url = json.loads(request.body)["picture_url"]
        return JsonResponse({"picture_url": picture_url})

urlpatterns = [
    path("get-picture", get_picture),
    path("set-picture", set_picture)
]

對應的前端功能（簡體）：

// GET request to retrieve the image URL
async function get_picture() {
    const res = await fetch("http://localhost:8000/get-picture");
    const data = await res.json();
    return data.picture_url;
}

// POST request to update the image URL
async function set_picture(picture_url) {
    const res = await fetch("http://localhost:8000/set-picture", {
        method: "POST",
        body: JSON.stringify({ "picture_url": picture_url })
    });
}

為了處理跨來源資源共享（CORS），我們將使用 django-cors-headers 套件。

啟用 CORS 和 CSRF 保護

安裝django-cors-headers：

pip install django-cors-headers

配置settings.py：

INSTALLED_APPS = [
    "corsheaders",
    # ... other apps
]

MIDDLEWARE = [
    "corsheaders.middleware.CorsMiddleware",
    # ... other middleware
]

CORS_ALLOWED_ORIGINS = ["http://localhost:4040"] # Adjust port as needed
CSRF_TRUSTED_ORIGINS = ["http://localhost:4040"] # Add your frontend origin

雖然 GET 請求現在可以正常工作，但 POST 請求將由於 CSRF 保護而失敗。為了解決這個問題，我們需要手動管理 CSRF 令牌。

取得並使用 CSRF 令牌

建立一個新視圖來提供 CSRF 令牌：

from django.views.decorators.csrf import ensure_csrf_cookie
from django.http import JsonResponse

@ensure_csrf_cookie
def get_csrf_token(request):
    return JsonResponse({"success": True})

urlpatterns = [
    # ... other paths
    path("get-csrf-token", get_csrf_token),
]

更新前端以取得令牌（使用js-cookie）：

fetch("http://localhost:8000/get-csrf-token", { credentials: "include" });

credentials: "include" 選項可確保瀏覽器處理任何 Set-Cookie 標頭，儲存 csrftoken cookie。檢查瀏覽器開發者工具中的網路標籤以驗證 cookie 是否已設定。

修改 POST 請求

最後，修改 set_picture 函數以在標頭中包含 CSRF 令牌：

async function set_picture(picture_url) {
    const res = await fetch("http://localhost:8000/set-picture", {
        method: "POST",
        credentials: "include",
        headers: {
            'X-CSRFToken': Cookies.get("csrftoken")
        },
        body: JSON.stringify({ "picture_url": picture_url })
    });
}

這會新增 X-CSRFToken 標頭以及 csrftoken cookie 中的值，從而啟用成功的 POST 請求。

重要注意事項

這種方法有局限性，尤其是在不同域上部署前端和後端時。瀏覽器安全性原則可能會阻止設定或存取第三方 cookie，進而影響 CSRF 令牌管理。

資源

以上是將 CSRF 保護與 Django 和 AJAX 請求結合使用的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

Python中的合併列表：選擇正確的方法May 14, 2025 am 12:11 AM

Tomergelistsinpython，YouCanusethe操作員，estextMethod，ListComprehension，Oritertools

如何在Python 3中加入兩個列表？May 14, 2025 am 12:09 AM

在Python3中，可以通過多種方法連接兩個列表：1)使用運算符，適用於小列表，但對大列表效率低；2)使用extend方法，適用於大列表，內存效率高，但會修改原列表；3)使用*運算符，適用於合併多個列表，不修改原列表；4)使用itertools.chain，適用於大數據集，內存效率高。

Python串聯列表字符串May 14, 2025 am 12:08 AM

使用join()方法是Python中從列表連接字符串最有效的方法。 1)使用join()方法高效且易讀。 2)循環使用運算符對大列表效率低。 3)列表推導式與join()結合適用於需要轉換的場景。 4)reduce()方法適用於其他類型歸約，但對字符串連接效率低。完整句子結束。

Python執行，那是什麼？May 14, 2025 am 12:06 AM

pythonexecutionistheprocessoftransformingpypythoncodeintoExecutablestructions.1）InternterPreterReadSthecode，ConvertingTingitIntObyTecode，whepythonvirtualmachine（pvm）theglobalinterpreterpreterpreterpreterlock（gil）the thepythonvirtualmachine（pvm）

Python：關鍵功能是什麼May 14, 2025 am 12:02 AM

Python的關鍵特性包括：1.語法簡潔易懂，適合初學者；2.動態類型系統，提高開發速度；3.豐富的標準庫，支持多種任務；4.強大的社區和生態系統，提供廣泛支持；5.解釋性，適合腳本和快速原型開發；6.多範式支持，適用於各種編程風格。

Python：編譯器還是解釋器？May 13, 2025 am 12:10 AM

Python是解釋型語言，但也包含編譯過程。 1）Python代碼先編譯成字節碼。 2）字節碼由Python虛擬機解釋執行。 3）這種混合機制使Python既靈活又高效，但執行速度不如完全編譯型語言。

python用於循環與循環時：何時使用哪個？May 13, 2025 am 12:07 AM

UseeAforloopWheniteratingOveraseQuenceOrforAspecificnumberoftimes; useAwhiLeLoopWhenconTinuingUntilAcIntiment.forloopsareIdealForkNownsences，而WhileLeleLeleLeleLeleLoopSituationSituationsItuationsItuationSuationSituationswithUndEtermentersitations。