一、在django后臺處理

1、將django的setting中的加入django.contrib.messages.middleware.MessageMiddleware，一般新建的django項目中會自帶的。

MIDDLEWARE_CLASSES = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
]?
這里中建間的順序可以調(diào)整

2、在templete的html頁的from中添加{% csrf %}，后臺重定向語法如下：

return render_to_response(xxx.html', context_instance=RequestContext(request))

二、前端處理

?對所有的ajax請求加上以下語句：

$(function () {
$.ajaxSetup({
data: {csrfmiddlewaretoken: '{{ csrf_token }}'},
});
})

這樣向后臺的請求都會帶django生成的那個csrf_token值。中間件csrf模塊會截取判斷csrf_token值是否一致，如果一致則請求合法。

?

三、對于ajax的復(fù)雜對象，例如[{"id":"001","name":"小明"},{"id":"002","name":"小軍"}].，后臺post的處理

必須將這種對象轉(zhuǎn)化為json格式傳到后臺，后臺在反序列化即可。（不要用ajax的其他序列化格式，其深度序列化后，django后臺解析比較困難）

contentType不需要指定utf-8，否則post解析出錯

四、csrf攻擊與預(yù)防

csrf利用session和cookie的時效性進行攻擊。他會獲取請求的cookie，在session時效內(nèi)進行請求。因此對于重要信息，重要功能進行單次請求處理。即請求一次失效。

例如：請求頭中加入驗證token信息，用完即失效。django的中間件csrf_token就是此原理防止的。

五、django中間件

這里簡單說一下django的中間件

我們從瀏覽器發(fā)出一個請求 Request，得到一個響應(yīng)后的內(nèi)容 HttpResponse ，這個請求傳遞到 Django的過程如下：

也就是說，每一個請求都是先通過中間件中的 process_request 函數(shù)，這個函數(shù)返回 None 或者 HttpResponse 對象，如果返回前者，繼續(xù)處理其它中間件，如果返回一個 HttpResponse，就處理中止，返回到網(wǎng)頁上。

我們可以據(jù)此做很多關(guān)于網(wǎng)絡(luò)攻擊的安全防護。比如：攔截器，過濾器，防止xss攻擊 等等。

django中間件參考https://code.ziqiangxuetang.com/django/django-middleware.html

轉(zhuǎn)載于:https://www.cnblogs.com/lovenethui/p/9760382.html

總結(jié)

以上是生活随笔為你收集整理的利用django中间件CsrfViewMiddleware防止csrf攻击的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。