csrf认证机制:
django中对POST请求,csrf会进行认证处理,csrf认证机制是防御跨站伪造功能,在没有任何处理的前提下,POST请求会报错。
csrf认证中间件是在process_view执行(通过装饰器强制认证或者放行可知),同时对类中的方法进行CSRF装饰器操作需要:
【注意只能加在dispatch方法上(或者装饰在类上指定dispatch方法),类中单独方法无效】
csrf认证--模板操作:
模板文件中的操作:
django项目中默认对POST请求进行了csrf认证,只需要在模板提交数据的代码块中加入模板标签{{% vsrf_token %}}即可,(不需要注销seetings.py配置文件MIDDLEWARE列表中的'django.middleware.csrf.CsrfViewMiddleware',),模板页面在渲染时会自动在相应位置渲染成隐藏的input标签:<input type="hidden" name="csrfmiddlewaretoken" value="8J4z1wiUEXt0gJSN59dLMnktrXFW0hv7m4d40Mtl37D7vJZfrxLir9L3jSTDjtG8">每次都是随机的
csrf认证--模块操作:
在views.py中首先导入模块:from django.views.decorators.csrf import csrf_exempt,csrf_protect
(1)放行认证:@csrf_exempt
@csrf_exempt #放行csrf认证(即使settings.py中存在全局认证机制,也对此次POST请求的视图函数放行)
def login(request):
if request.method=="GET":
return render(request,"login.html")
elif request.method=="POST":
name=request.POST.get("username")
psd=request.POST.get("userpsd")
status=models.auth(name,psd)
if status:
return HttpResponse("<h1>Success!</h1>")
else:
return render(request,"login_fail.html")
(2)强制认证:@csrf_protect
@csrf_protect #强制csrf认证(即使settings.py中不存在全局认证机制,也对此次POST请求的视图函数强制认证)
def login(request):
if request.method=="GET":
return render(request,"login.html")
elif request.method=="POST":
name=request.POST.get("username")
psd=request.POST.get("userpsd")
status=models.auth(name,psd)
if status:
return HttpResponse("<h1>Success!</h1>")
else:
return render(request,"login_fail.html")
login.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="refresh" content="">
<meta name="keywords" content="">
<style></style>
<script src="https://cdn.bootcss.com/jquery/3.4.1/jquery.js"></script>
<link rel="stylesheet" href="">
<title>login</title>
</head>
<body>
<form action="http://127.0.0.1:8888/login/" method="post">
{# {% csrf_token %}<!--在进行模板渲染时会自动生成一个隐藏的input标签(csrf认证标识)-->#}
<table>
<tr>
<td>用户名:</td>
<td><input type="text" name="username"></td>
</tr>
<tr>
<td>密码:</td>
<td><input type="text" name="userpsd"></td>
</tr>
<tr>
<td><input type="reset"></td>
<td><input type="submit" ></td>
</tr>
</table>
</form>
</body>
</html>