csrf(跨站请求伪造)

跨站请求伪造如何体现出功能?

每个用户的form表单都会生成一个字符串,当然(这个后端是肯定知道这个字符串是什么,因为他们公用一套加密方案).假设现在有一个钓鱼网站想模仿正经网站,比如A向B转100元钱,但是钓鱼网站却不知道form表单的字符串是多少,即使伪造了一个网站(首页显示一模一样),填写了相关信息后,向正经网站后台发送转款请求,但是,由于没有特有的字符串,会被后台认为该请求是伪造请求,从而无法实现转款,

 

 

return render(request, 'index.html')

可以得知，每次return 时，都会携带一些信息由request返回，这里面就携带，比如csrftoken的相关信息，这样，当提交表单时候，我们可以将csrf传递到后端，检测是否和传到前端时一样，如果一样，则接受表单数据，否则，拒绝接受表单数据。