1.案例流程图:
2.django防止csrf的方式:
1 ) Django中默认打开csrf中间件。settings.py文件中:
MIDDLEWARE_CLASSES = ('django.contrib.sessions.middleware.SessionMiddleware','django.middleware.common.CommonMiddleware','django.middleware.csrf.CsrfViewMiddleware', # django默认启用了csrf防护,只针对post提交'django.contrib.auth.middleware.AuthenticationMiddleware','django.contrib.auth.middleware.SessionAuthenticationMiddleware','django.contrib.messages.middleware.MessageMiddleware','django.middleware.clickjacking.XFrameOptionsMiddleware','django.middleware.security.SecurityMiddleware',
)
2 ) 表单post提交数据时加上{% csrf_token %}标签。
3.防御原理:
1 ) 渲染模板文件时在页面生成一个名字叫做csrfmiddlewaretoken的隐藏域。
2 ) 服务器交给浏览器保存一个名字为csrftoken的cookie信息。
3 ) 提交表单时,两个值都会发给服务器,服务器进行比对,如果一样,则csrf验证通过,否则失败。