跨站请求

本文章内容:dango下的跨站请求设置

 

   

全局:

  中间件 django.middleware.csrf.CsrfViewMiddleware

 

局部(调用装饰器):

  前提:from django.views.decorators.csrf import csrf_exempt,csrf_protect

  • @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
  • @csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

应用

1、普通表单

  veiw中设置返回值:

  return render_to_response('Account/Login.html',data,context_instance=RequestContext(request))  
 
    html中设置Token:
     {% csrf_token %}
 
2、Ajax
  对于传统的form,可以通过表单的方式将token再次发送到服务端,而对于ajax的话,使用如下方式。
 
  from django.template.context import RequestContext #import函数
    # Create your views here.
 
 
     def test(request):
 
       if request.method == 'POST':
          print request.POST
          return HttpResponse('ok')
       return  render_to_response('app01/test.html',context_instance=RequestContext(request))
 
       或者使用render(),它是默认调用RequestContext功能,可在源码获知。
  以上是views配置。
 
     模板配置: 
<!DOCTYPE html>
<html>
<head lang="en">
    <meta charset="UTF-8">
    <title></title>
</head>
<body>
    {% csrf_token %}
 
    <input type="button" onclick="Do();"  value="Do it"/>
 
    <script src="/static/plugin/jquery/jquery-1.8.0.js"></script>
    <script src="/static/plugin/jquery/jquery.cookie.js"></script>
    <script type="text/javascript">
        var csrftoken = $.cookie('csrftoken');
 
        function csrfSafeMethod(method) {
            // these HTTP methods do not require CSRF protection
            return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
        }
        $.ajaxSetup({
            beforeSend: function(xhr, settings) {
                if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
                    xhr.setRequestHeader("X-CSRFToken", csrftoken);
                }
            }
        });
        function Do(){
 
            $.ajax({
                url:"/app01/test/",
                data:{id:1},
                type:'POST',
                success:function(data){
                    console.log(data);
                }
            });
 
        }
    </script>
</body>
</html>
   
标红部分为必填!
更多:https://docs.djangoproject.com/en/dev/ref/csrf/#ajax
 
 
 
posted @ 2016-04-21 12:22  fengzao  阅读(310)  评论(0)    收藏  举报