一、CSRF：保護(hù)機(jī)制

Django預(yù)防CSRF攻擊的方法是在用戶提交的表單中加入一個(gè)csrftoken的隱含值，這個(gè)值和服務(wù)器中保存的csrftoken的值相同，這樣做的原理如下:

1、在用戶訪問django的可信站點(diǎn)時(shí)，django反饋給用戶的表單中有一個(gè)隱含字段csrftoken，這個(gè)值是在服務(wù)器端隨機(jī)生成的，每一次提交表單都會(huì)生成不同的值

2、當(dāng)用戶提交django的表單時(shí)，服務(wù)器校驗(yàn)這個(gè)表單的csrftoken是否和自己保存的一致，來判斷用戶的合法性

3、當(dāng)用戶被csrf攻擊從其他站點(diǎn)發(fā)送精心編制的攻擊請(qǐng)求時(shí)，由于其他站點(diǎn)不可能知道隱藏的csrftoken字段的信息這樣在服務(wù)器端就會(huì)校驗(yàn)失敗，攻擊被成功防御

二、CORS：跨域訪問

舉例：前端和后端分別是兩個(gè)不同的端?

前端：127.0.0.1:8081
后端：192.168.17.129:8880

現(xiàn)在，前端與后端分別是不同的端?，這就涉及到跨域訪問數(shù)據(jù)的問題，因?yàn)闉g覽器的同源策略，默認(rèn)是不?持兩個(gè)不同域名間相互訪問數(shù)據(jù)，?我們需要在兩個(gè)域名間相互傳遞數(shù)據(jù)，這時(shí)我們就要為后端添加跨域訪問的?持。

django后端設(shè)置：

1、使用django-cors-headers擴(kuò)展 a、安裝

pip install django-cors-headers

b、添加子應(yīng)用

INSTALLED_APPS = [ 
	... 
	'corsheaders', 
	...
]

c、中間件配置

MIDDLEWARE = [ 
	'corsheaders.middleware.CorsMiddleware',
	 ...
 ]

d、添加白名單

# 設(shè)置CORS?名單
CORS_ORIGIN_WHITELIST = ( 
	'http://127.0.0.1:8081',
	'http://127.0.0.1:8080', 
	'http://localhost:8080', 
	'http://www.nagle.cn:8080', 
	'http://api.nagle.cn:8083',
)

CORS_ALLOW_CREDENTIALS = True # 允許攜帶cookie

凡是出現(xiàn)在?名單中的域名，都可以訪問后端接?CORS_ALLOW_CREDENTIALS 指明在跨域訪問中，后端是否?持對(duì)cookie的操作。

2、跨域?qū)崿F(xiàn)流程 a、瀏覽器會(huì)第一次先發(fā)送OPTIONS請(qǐng)求詢問后端是否允許跨域，后端查詢白名單中是否有這個(gè)域名 b、如果域名在白名單列表中則響應(yīng)結(jié)果中告知瀏覽器允許跨域 c、瀏覽器第二次發(fā)送POST請(qǐng)求，攜帶用戶登錄數(shù)據(jù)到后端，完成登錄驗(yàn)證操作

到此這篇關(guān)于詳解Django中CSRF和CORS的區(qū)別的文章就介紹到這了,更多相關(guān)Django CSRF和CORS內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論