码迷,mamicode.com
首页 > Web开发 > 详细

70 ajax crsf插件

时间:2018-10-16 21:58:03      阅读:190      评论:0      收藏:0      [点我收藏+]

标签:感受   cookies   注销   prot   from   post   request方法   bst   query   

主要内容:

csrf中间件: csrf跨站请求伪造

  a : crsf的两个静态方法:

    csrf_exempt : 给单个视图排除校验

    csrf_protect: 给单个视图必须校验

from django.views.decorators.csrf import csrf_exempt, csrf_protect

# 可以通过csrf校验, 不注销csrf插件的情况下
# @csrf_exempt 
# def login(request):
#     return render(request, ‘login.html‘)
# 给csrf设置了一层安全保证, 不允许通过
@csrf_protect
def login(request):
    return render(request, ‘login.html‘)

  b : csrf的请求流程:

    从process_request方法:  从请求的cookie中获取csrf_token  ——》csrf_token   ——》request.META[‘CSRF_COOKIE‘]

    从process_view方法:

      1: 如果视图函数加上了csrf_exempt的装饰器,则不做校验

      2 : 如果请求方式是‘GET‘, ‘HEAD‘, ‘OPTIONS‘, ‘TRACE‘ 也不做校验

      3 : 其他的方式做校验:

    request.META.get(‘CSRF_COOKIE‘) —— 》 csrf_token

    request_csrf_token = ‘‘

    # 从request.POST中获取csrfmiddlewaretoken对应的值
        request_csrf_token = request.POST.get(‘csrfmiddlewaretoken‘, ‘‘)
       # 从请求头中获取X-csrftoken 的值
        request_csrf_token = request.META.get(settings.CSRF_HEADER_NAME, ‘‘)
      request_csrf_token 和 csrf_token 做对比 
      如果校验成功 正常走
      如果校验不成功 拒绝

2 浏览器向服务器发请求的方式

  a : 地址栏上输入地址 回车, get请求

  b : form表单提交数据, 点击submit,  post请求

  c : a标签

  d : ajax

3 JSON内容的复习:

  在JavaScript中: 关于json对象和字符串转换的两个方法:

    JSON.parse(): 用于将一个json字符串转为JavaScript对象

    JSON.stringify(): 用于将JavaScript的值转换为json字符串  

4 ajax  : 一个与服务器进行交互的技术

  a : 简介: 异步的JavaScript和XML, 即使用JavaScript语言与服务器进行异步交互, 传输的数据为XML,(也不只是xml), 不是一种新的编程语言, 而是一种使用现有的标准的新方法.

  b : 优点

    1 : 最大的优点是在不重新加载整个页面的情况下,可以与服务器交换数据并更新部分网页内容。(这一特点给用户的感受是在不知不觉中完成请求和响应过程)

    2 : 异步交互:客户端发出一个请求后,无需等待服务器响应结束,就可以发出第二个请求

    总结:

    AJAX使用JavaScript技术向服务器发送异步请求;

    AJAX请求无须刷新整个页面;

    因为服务器响应内容不再是整个页面,而是页面中的部分内容,所以AJAX性能高;

  c : 实例: 页面输入两个整数, 通过ajax传输到后端进行计算出结果,返回.

url中的代码:

urlpatterns = [
    url(r‘^admin/‘, admin.site.urls),
    url(r‘^index/‘, views.index),
    url(r‘^calc/‘, views.calc),
    url(r‘^calcs/‘, views.calcs),
]

views中的代码:

from django.shortcuts import render, HttpResponse

def index(request):
    i1, i2, i3 = ‘‘, ‘‘, ‘‘
    if request.method == ‘POST‘:
        i1 = int(request.POST.get(‘i1‘))
        i2 = int(request.POST.get(‘i2‘))
        i3 = i1 + i2
    return render(request, ‘index.html‘, {‘i1‘:i1, ‘i2‘: i2, ‘i3‘: i3})

import time
def calc(request):
    print(request.POST)
    i1 = int(request.POST.get(‘i1‘))
    i2 = int(request.POST.get(‘i2‘))
    i3 = i1 + i2
    time.sleep(5)
    return HttpResponse(i3)

def calcs(request):
    i1 = request.POST.get(‘i1‘)
    i2 = request.POST.get(‘i2‘)
    i3 = i1 + i2
    return HttpResponse(i3) 

html中的代码

<body>
<input type="text" name="i1">+
<input type="text" name="i2" >=
<input type="text" name="i3">
<button  id="b1">计算</button>
<hr>
<input type="text" name="ii1">+
<input type="text" name="ii2" >=
<input type="text" name="ii3">
<button  id="b2">计算</button>

<script src="/static/jquery-3.3.1.min.js"></script>
<script>
    $(‘#b1‘).click(function () {
        $.ajax({
            url:‘/calc/‘,
            type:‘post‘,
            data:{
                i1 : $(‘[name="i1"]‘).val(),
                i2 : $(‘[name="i2"]‘).val(),
            },
            success:function (ret) {
                console.log(ret);
                $(‘[name="i3"]‘).val(ret)
            }
            })
    });

    $(‘#b2‘).click(function () {
    $.ajax({
        url:‘/calcs/‘,
        type:‘post‘,
        data:{
            i1 : $(‘[name="ii1"]‘).val(),
            i2 : $(‘[name="ii2"]‘).val(),
        },
        success:function (ret) {
            console.log(ret);
            $(‘[name="ii3"]‘).val(ret)
        }
        })
    });

</script>
</body>
</html>

  d : ajax发post请求, 通过csrf验证的三种方法:

    1: 页面中使用{% csrf_token%} 

              $(‘#b1‘).click(function () {
				$.ajax({
					url: ‘/csrf_test/‘,
					type: ‘post‘,
					data: {
						csrfmiddlewaretoken: $(‘[name="csrfmiddlewaretoken"]‘).val(),  # **********
						name: ‘alex‘,
						age: ‘73‘,
					},
					success: function (res) {
						console.log(res);


					}
				})
			});
			

    2 : 通过获取返回的cookie中的字符串 放置在请求头中发送

      注意:需要引入一个jquery.cookie.js插件。  

$.ajax({
  url: "/cookie_ajax/",
  type: "POST",
  headers: {"X-CSRFToken": $.cookie(‘csrftoken‘)},  // 从Cookie取csrftoken,并设置到请求头中
  data: {"username": "Q1mi", "password": 123456},
  success: function (data) {
    console.log(data);
  }
})

      或者自己写一个getcookie方法

function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== ‘‘) {
        var cookies = document.cookie.split(‘;‘);
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + ‘=‘)) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie(‘csrftoken‘);

  实例:

$(‘#b1‘).click(function () {
				$.ajax({
					url: ‘/csrf_test/‘,
					type: ‘post‘,
					headers: {"X-CSRFToken": $(‘[name="csrfmiddlewaretoken"]‘).val()},
					data: {
						name: ‘alex‘,
						age: ‘73‘,

					},
					success: function (res) {
						console.log(res);
					}
				})
			});

     结论 : 由于每一次都这么写太麻烦了,可以使用$.ajaxSetup()方法为ajax请求统一设置。

   3 全局设置:

      注意: 使用$.ajaxSetup()方法为ajax请求统一设置. 此时需要建一个js文件, 把下面的代码粘进去就可以.

function csrfSafeMethod(method) {
  // these HTTP methods do not require CSRF protection
  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

$.ajaxSetup({
  beforeSend: function (xhr, settings) {
    if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
      xhr.setRequestHeader("X-CSRFToken", csrftoken);
    }
  }
});

        从cookie中取值, 必须有cookie

        有cookie的两种方式

          1 使用{%csrf_token%};

          2   from django.views.decorators.csrf import ensure_csrf_cookie

            这个时候需要使用ensure_csrf_cookie()装饰器强制设置Cookie。

  $(‘#b2‘).click(function () {
        $.ajax({
            url: ‘/csrf_test/‘,
            type: ‘post‘,

            data: {},
            success: function (res) {
                console.log(res);


            }
        })
    });

    4 三种方法的views的代码:

from django.views.decorators.csrf import ensure_csrf_cookie
@ensure_csrf_cookie
def csrf_test(request):
    if request.method == ‘POST‘:
        print(request.POST)
        return HttpResponse(‘测试成功‘)
    return render(request, ‘csrf_test.html‘)

  

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

  

70 ajax crsf插件

标签:感受   cookies   注销   prot   from   post   request方法   bst   query   

原文地址:https://www.cnblogs.com/gyh412724/p/9800568.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!