Django中防范CSRF跨站点请求伪造攻击的方法

1.启用CSRF中间件

Django自带了CSRF中间件，通过在settings.py中启用该中间件可以轻松防范CSRF跨站点请求伪造攻击。

在settings.py文件中添加以下代码即可启用该中间件：

MIDDLEWARE = [

    'django.middleware.csrf.CsrfViewMiddleware',

]

2.在HTML表单中添加CSRF令牌

在HTML表单中添加CSRF令牌是确保用户提交的数据来自于合法来源的一种方式，添加方法如下：

{% csrf_token %}

这个标签将在渲染成HTML页面时生成一个包含CSRF令牌的隐藏字段，后台在处理POST请求时会验证是否存在该令牌。

3.在Ajax请求中添加CSRF令牌

在Ajax请求中添加CSRF令牌同样需要在HTML页面中添加以下代码：

<script type="text/javascript">

    $.ajaxSetup({

        beforeSend: function(xhr, settings) {

            function getCookie(name) {

                var cookieValue = null;

                if (document.cookie && document.cookie != '') {

                    var cookies = document.cookie.split(';');

                    for (var i = 0; i < cookies.length; i++) {

                        var cookie = jQuery.trim(cookies[i]);

                        if (cookie.substring(0, name.length + 1) == (name + '=')) {

                            cookieValue = decodeURIComponent(cookie.substring(name.length + 1));

                            break;

                        }

                    }

                }

                return cookieValue;

            }

            if (!(/^http:.*/.test(settings.url) || /^https:.*/.test(settings.url))) {

                xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));

            }

        }

    });

</script>

该代码会在每个Ajax请求发送前自动添加CSRF令牌。

4.在后端验证CSRF令牌

在后端验证CSRF令牌同样也很重要，在views.py中加上以下代码：

from django.views.decorators.csrf import csrf_exempt, csrf_protect

 

@csrf_protect

def my_view(request):

    # 可以直接使用request中的POST、GET参数，Django会自动验证CSRF令牌

    return HttpResponse("Hello world")

这样，在每个通过POST请求提交的表单数据中都将携带一个CSRF令牌，Django会自动验证该令牌是否为合法的请求来源，确保站点的安全性。

总结

以上是Django中防范CSRF跨站点请求伪造攻击的方法，开发人员必须始终保持警惕并采取合适的防范策略，不断提高站点的安全性。