本文实例讲述了Python Django框架防御CSRF攻击的方法。分享给大家供大家参考,具体如下:
项目名/settings.py(项目配置,csrf中间件配置):
MIDDLEWARE_CLASSES = ( 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', # django默认启用了csrf防护,只针对post表单提交进行防护。 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.auth.middleware.SessionAuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', 'django.middleware.security.SecurityMiddleware',)
templates/应用名/demo.html(模板文件,csrf防护):
<!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <title>修改密码页面</title></head><body><form method="post" action="/change_pwd_action"> {% csrf_token %} {# csrf_token是Django提供的,用于csrf防护。该变量会替换成一个表单隐藏域。 #} 新密码:<input type="password" name="pwd"> <input type="submit" value="确认修改"></form></body></html>django防止csrf攻击的方式:
1) 默认打开csrf中间件。
2) 表单post提交数据时加上{% csrf_token %}标签。
防御原理:
希望本文所述对大家基于Django框架的Python程序设计有所帮助。
新闻热点
疑难解答
图片精选
