通过 CSRF 保护保护 Django AJAX 请求
Django 的内置 CSRF(跨站请求伪造)保护在使用 django-admin startproject 创建项目时默认启用,利用 CSRF 令牌来防范恶意请求。 此中间件已添加到您的 settings.py.
对 Django 应用程序的每个 POST 请求都需要有效的 CSRF 令牌。在 Django 模板中,这是通过使用 POST 方法在任何表单中包含 {% csrf_token %} 来实现的。 然而,使用单独的前端 AJAX 请求处理 CSRF 保护需要不同的方法。
本教程演示使用来自单独前端的 AJAX 请求来保护简单的 Django 应用程序。
应用程序设置
我们的示例应用程序具有两个端点:
-
GET
/get-picture:检索存储在服务器上的图像的 URL。 -
POST
/set-picture:更新存储在服务器上的图像的 URL。
为了简单起见,省略了错误处理。 初始后端代码(在urls.py中)如下:
from django.urls import path
from django.http import JsonResponse
import json
picture_url = "https://picsum.photos/id/247/720/405"
def get_picture(request):
return JsonResponse({"picture_url": picture_url})
def set_picture(request):
if request.method == "POST":
global picture_url
picture_url = json.loads(request.body)["picture_url"]
return JsonResponse({"picture_url": picture_url})
urlpatterns = [
path("get-picture", get_picture),
path("set-picture", set_picture)
]
对应的前端功能(简体):
// GET request to retrieve the image URL
async function get_picture() {
const res = await fetch("http://localhost:8000/get-picture");
const data = await res.json();
return data.picture_url;
}
// POST request to update the image URL
async function set_picture(picture_url) {
const res = await fetch("http://localhost:8000/set-picture", {
method: "POST",
body: JSON.stringify({ "picture_url": picture_url })
});
}
为了处理跨源资源共享(CORS),我们将使用 django-cors-headers 包。
启用 CORS 和 CSRF 保护
安装django-cors-headers:
pip install django-cors-headers
配置settings.py:
INSTALLED_APPS = [
"corsheaders",
# ... other apps
]
MIDDLEWARE = [
"corsheaders.middleware.CorsMiddleware",
# ... other middleware
]
CORS_ALLOWED_ORIGINS = ["http://localhost:4040"] # Adjust port as needed
CSRF_TRUSTED_ORIGINS = ["http://localhost:4040"] # Add your frontend origin
虽然 GET 请求现在可以正常工作,但 POST 请求将由于 CSRF 保护而失败。 为了解决这个问题,我们需要手动管理 CSRF 令牌。
获取并使用 CSRF 令牌
创建一个新视图来提供 CSRF 令牌:
from django.views.decorators.csrf import ensure_csrf_cookie
from django.http import JsonResponse
@ensure_csrf_cookie
def get_csrf_token(request):
return JsonResponse({"success": True})
urlpatterns = [
# ... other paths
path("get-csrf-token", get_csrf_token),
]
更新前端以获取令牌(使用js-cookie):
fetch("http://localhost:8000/get-csrf-token", { credentials: "include" });
credentials: "include" 选项确保浏览器处理任何 Set-Cookie 标头,存储 csrftoken cookie。 检查浏览器开发者工具中的网络选项卡以验证 cookie 是否已设置。
修改 POST 请求
最后,修改 set_picture 函数以在标头中包含 CSRF 令牌:
async function set_picture(picture_url) {
const res = await fetch("http://localhost:8000/set-picture", {
method: "POST",
credentials: "include",
headers: {
'X-CSRFToken': Cookies.get("csrftoken")
},
body: JSON.stringify({ "picture_url": picture_url })
});
}
这会添加 X-CSRFToken 标头以及 csrftoken cookie 中的值,从而启用成功的 POST 请求。
重要注意事项
这种方法有局限性,尤其是在不同域上部署前端和后端时。 浏览器安全策略可能会阻止设置或访问第三方 cookie,从而影响 CSRF 令牌管理。
资源
以上是将 CSRF 保护与 Django 和 AJAX 请求结合使用的详细内容。更多信息请关注PHP中文网其他相关文章!
Python vs. C:了解关键差异Apr 21, 2025 am 12:18 AMPython和C 各有优势,选择应基于项目需求。1)Python适合快速开发和数据处理,因其简洁语法和动态类型。2)C 适用于高性能和系统编程,因其静态类型和手动内存管理。
Python vs.C:您的项目选择哪种语言?Apr 21, 2025 am 12:17 AM选择Python还是C 取决于项目需求:1)如果需要快速开发、数据处理和原型设计,选择Python;2)如果需要高性能、低延迟和接近硬件的控制,选择C 。
达到python目标:每天2小时的力量Apr 20, 2025 am 12:21 AM通过每天投入2小时的Python学习,可以有效提升编程技能。1.学习新知识:阅读文档或观看教程。2.实践:编写代码和完成练习。3.复习:巩固所学内容。4.项目实践:应用所学于实际项目中。这样的结构化学习计划能帮助你系统掌握Python并实现职业目标。
最大化2小时:有效的Python学习策略Apr 20, 2025 am 12:20 AM在两小时内高效学习Python的方法包括:1.回顾基础知识,确保熟悉Python的安装和基本语法;2.理解Python的核心概念,如变量、列表、函数等;3.通过使用示例掌握基本和高级用法;4.学习常见错误与调试技巧;5.应用性能优化与最佳实践,如使用列表推导式和遵循PEP8风格指南。
在Python和C之间进行选择:适合您的语言Apr 20, 2025 am 12:20 AMPython适合初学者和数据科学,C 适用于系统编程和游戏开发。1.Python简洁易用,适用于数据科学和Web开发。2.C 提供高性能和控制力,适用于游戏开发和系统编程。选择应基于项目需求和个人兴趣。
Python与C:编程语言的比较分析Apr 20, 2025 am 12:14 AMPython更适合数据科学和快速开发,C 更适合高性能和系统编程。1.Python语法简洁,易于学习,适用于数据处理和科学计算。2.C 语法复杂,但性能优越,常用于游戏开发和系统编程。
每天2小时:Python学习的潜力Apr 20, 2025 am 12:14 AM每天投入两小时学习Python是可行的。1.学习新知识:用一小时学习新概念,如列表和字典。2.实践和练习:用一小时进行编程练习,如编写小程序。通过合理规划和坚持不懈,你可以在短时间内掌握Python的核心概念。
Python与C:学习曲线和易用性Apr 19, 2025 am 12:20 AMPython更易学且易用,C 则更强大但复杂。1.Python语法简洁,适合初学者,动态类型和自动内存管理使其易用,但可能导致运行时错误。2.C 提供低级控制和高级特性,适合高性能应用,但学习门槛高,需手动管理内存和类型安全。
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!
热门文章
热工具
SublimeText3 英文版
推荐:为Win版本,支持代码提示!
mPDF
mPDF是一个PHP库,可以从UTF-8编码的HTML生成PDF文件。原作者Ian Back编写mPDF以从他的网站上“即时”输出PDF文件,并处理不同的语言。与原始脚本如HTML2FPDF相比,它的速度较慢,并且在使用Unicode字体时生成的文件较大,但支持CSS样式等,并进行了大量增强。支持几乎所有语言,包括RTL(阿拉伯语和希伯来语)和CJK(中日韩)。支持嵌套的块级元素(如P、DIV),
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
MinGW - 适用于 Windows 的极简 GNU
这个项目正在迁移到osdn.net/projects/mingw的过程中,你可以继续在那里关注我们。MinGW:GNU编译器集合(GCC)的本地Windows移植版本,可自由分发的导入库和用于构建本地Windows应用程序的头文件;包括对MSVC运行时的扩展,以支持C99功能。MinGW的所有软件都可以在64位Windows平台上运行。
Atom编辑器mac版下载
最流行的的开源编辑器
