1、CSRF是什么?
<1>CSRF:跨站请求伪造,是一种挟持用户在当前已经登录的web应用程序上执行非本意的操作的攻击方法..
<2>跨站请求攻击,简单说:就是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站执行一些操作(比如:发邮件,发消息,网购,财产操作,),由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行,….也就是web中的身份验证的漏洞,简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本事是用户自愿发出的.
<3>防止这种发生的方法:1.在django项目里的setting里,将以下注释掉,不推荐.
2.所以推荐方法是:在form表单中添加{% csrf_token %}
在使用post方法的form中添加{% csrf_token %}
所以django中的csrf验证需要form中隐藏字段和cookie中的csrf_token共同发给服务器完成csrf验证.
网友评论