詳解Django中CSRF和CORS的區(qū)別

更新時(shí)間：2022年08月02日 15:01:39 作者：YZL40514131

本文主要介紹了詳解Django中CSRF和CORS的區(qū)別，文中通過示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

一、CSRF：保護(hù)機(jī)制

Django預(yù)防CSRF攻擊的方法是在用戶提交的表單中加入一個(gè)csrftoken的隱含值，這個(gè)值和服務(wù)器中保存的csrftoken的值相同，這樣做的原理如下:

1、在用戶訪問django的可信站點(diǎn)時(shí)，django反饋給用戶的表單中有一個(gè)隱含字段csrftoken，這個(gè)值是在服務(wù)器端隨機(jī)生成的，每一次提交表單都會(huì)生成不同的值

2、當(dāng)用戶提交django的表單時(shí)，服務(wù)器校驗(yàn)這個(gè)表單的csrftoken是否和自己保存的一致，來判斷用戶的合法性

3、當(dāng)用戶被csrf攻擊從其他站點(diǎn)發(fā)送精心編制的攻擊請(qǐng)求時(shí)，由于其他站點(diǎn)不可能知道隱藏的csrftoken字段的信息這樣在服務(wù)器端就會(huì)校驗(yàn)失敗，攻擊被成功防御

二、CORS：跨域訪問

舉例：前端和后端分別是兩個(gè)不同的端?

前端：127.0.0.1:8081
后端：192.168.17.129:8880

現(xiàn)在，前端與后端分別是不同的端?，這就涉及到跨域訪問數(shù)據(jù)的問題，因?yàn)闉g覽器的同源策略，默認(rèn)是不?持兩個(gè)不同域名間相互訪問數(shù)據(jù)，?我們需要在兩個(gè)域名間相互傳遞數(shù)據(jù)，這時(shí)我們就要為后端添加跨域訪問的?持。

django后端設(shè)置：

1、使用django-cors-headers擴(kuò)展 a、安裝

pip install django-cors-headers

b、添加子應(yīng)用

INSTALLED_APPS = [ 
	... 
	'corsheaders', 
	...
]

c、中間件配置

MIDDLEWARE = [ 
	'corsheaders.middleware.CorsMiddleware',
	 ...
 ]

d、添加白名單

# 設(shè)置CORS?名單
CORS_ORIGIN_WHITELIST = ( 
	'http://127.0.0.1:8081',
	'http://127.0.0.1:8080', 
	'http://localhost:8080', 
	'http://www.nagle.cn:8080', 
	'http://api.nagle.cn:8083',
)

CORS_ALLOW_CREDENTIALS = True # 允許攜帶cookie

凡是出現(xiàn)在?名單中的域名，都可以訪問后端接?CORS_ALLOW_CREDENTIALS 指明在跨域訪問中，后端是否?持對(duì)cookie的操作。

2、跨域?qū)崿F(xiàn)流程 a、瀏覽器會(huì)第一次先發(fā)送OPTIONS請(qǐng)求詢問后端是否允許跨域，后端查詢白名單中是否有這個(gè)域名 b、如果域名在白名單列表中則響應(yīng)結(jié)果中告知瀏覽器允許跨域 c、瀏覽器第二次發(fā)送POST請(qǐng)求，攜帶用戶登錄數(shù)據(jù)到后端，完成登錄驗(yàn)證操作

在這里插入圖片描述

到此這篇關(guān)于詳解Django中CSRF和CORS的區(qū)別的文章就介紹到這了,更多相關(guān)Django CSRF和CORS內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

相關(guān)文章

Python自定義函數(shù)實(shí)現(xiàn)求兩個(gè)數(shù)最大公約數(shù)、最小公倍數(shù)示例
這篇文章主要介紹了Python自定義函數(shù)實(shí)現(xiàn)求兩個(gè)數(shù)最大公約數(shù)、最小公倍數(shù),結(jié)合實(shí)例形式分析了Python求解兩個(gè)數(shù)最大公約數(shù)與最小公倍數(shù)相關(guān)原理與算法實(shí)現(xiàn)技巧,需要的朋友可以參考下
2018-05-05
python 抽象類的使用詳解
這篇文章主要介紹了python 抽象類的使用詳解，幫助大家更好的理解和學(xué)習(xí)使用python，感興趣的朋友可以了解下
2021-03-03
利用Python3分析sitemap.xml并抓取導(dǎo)出全站鏈接詳解
因?yàn)樽罱鼡Q了網(wǎng)址，所以需要在百度站長平臺(tái)提交網(wǎng)址，不管是主動(dòng)推送還是手動(dòng)提交，前提都是要整理網(wǎng)站的鏈接，手動(dòng)添加太麻煩，于是就想寫個(gè)腳本直接抓取全站鏈接并導(dǎo)出，本文詳細(xì)介紹的是實(shí)現(xiàn)的方法及過程，需要的朋友們一起來看看吧。
2017-07-07
Python實(shí)現(xiàn)全排列的打印
這篇文章主要為大家詳介紹了Python實(shí)現(xiàn)全排列的打印的相關(guān)代碼，具有一定的參考價(jià)值，感興趣的小伙伴們可以參考一下
2018-08-08
Python高級(jí)排序sort()函數(shù)使用技巧實(shí)例探索
本文詳細(xì)介紹sort()函數(shù)的使用,包括基本排序、自定義排序、逆序排序等多種情況,并提供大量示例代碼,以幫助你充分理解和掌握這一函數(shù)的用法,探索更多sort()排序函數(shù)的作用
2024-01-01
python dict 字典以及賦值引用的一些實(shí)例(詳解)
下面小編就為大家?guī)硪黄猵ython dict 字典以及賦值引用的一些實(shí)例(詳解)。小編覺得挺不錯(cuò)的，現(xiàn)在就分享給大家，也給大家做個(gè)參考。一起跟隨小編過來看看吧
2017-01-01
Windows 平臺(tái)做 Python 開發(fā)的最佳組合(推薦)
在 Windows 上如何做 Python 開發(fā)呢？相信大神們都會(huì)有自己的解決方案，但本文希望介紹微軟官方發(fā)布的 Terminal 和 Visual Studio Code，希望它們能構(gòu)建更流暢的 Windows 開發(fā)體驗(yàn)，感興趣的朋友跟隨小編一起看看吧
2020-07-07
詳解Selenium如何實(shí)現(xiàn)獲取cookies并保存
這篇文章主要為大家詳細(xì)介紹了Selenium如何實(shí)現(xiàn)獲取cookies保存起來用于下次訪問，文中的示例代碼講解詳細(xì)，感興趣的小伙伴可以了解一下
2023-05-05
python裝飾器原理與用法深入詳解
這篇文章主要介紹了python裝飾器原理與用法,結(jié)合實(shí)例形式深入分析了Python裝飾器的概念、原理、使用方法及相關(guān)操作注意事項(xiàng),需要的朋友可以參考下
2019-12-12
python自動(dòng)化測試之DDT數(shù)據(jù)驅(qū)動(dòng)的實(shí)現(xiàn)代碼
這篇文章主要介紹了python自動(dòng)化測試之DDT數(shù)據(jù)驅(qū)動(dòng)的實(shí)現(xiàn)代碼，本文給大家介紹的非常詳細(xì)，具有一定的參考借鑒價(jià)值,需要的朋友可以參考下
2019-07-07