Django模板标签CSRF

一些简单的不说。主要讲{%csrf_token%}标签

当在Django中使用 {%csrf_token%} 标签时候,其实是在表单中加入一个隐藏的input标签,用来存储一个特定的CSRF令牌(Token),这个令牌是服务器生成的随机值,在用户每次访问包含CSRF保护的表单页面时都会生成一个新的令牌。

在用户提交表单时,Django会检查请求中是否包含了这个CSRF令牌,并验证其有效性。如果请求中的CSRF令牌不匹配或者不存在,服务器将拒绝这个请求,从而保护网站免受CSRF攻击。

下面我将举个例子:

1、在 HTML 表单模板文件中包含 {% csrf_token %} 标签:

html 复制代码
<form method="post">
    {% csrf_token %}
    <input type="text" name="username" placeholder="Username">
    <input type="password" name="password" placeholder="Password">
    <button type="submit">Login</button>
</form>

2、在处理表单数据的 Django 视图中,确保使用 @csrf_protect 装饰器保护该视图:

javascript 复制代码
from django.views.decorators.csrf import csrf_protect
from django.shortcuts import render
from django.http import HttpResponse

@csrf_protect
def login_view(request):
    if request.method == 'POST':
        username = request.POST.get('username')
        password = request.POST.get('password')
        # 处理用户登录逻辑
        return HttpResponse('Login successful!')
    else:
        return render(request, 'login_form.html')

在这个例子中,用户在提交登录表单时将包含一个CSRF令牌。

在login_view视图中,我们使用了@csrf_protect 装饰器确保在处理 POST 请求时进行 CSRF 保护。

通过这种方式,Django 能够有效地防止 CSRF 攻击,提高网站的安全性。

相关推荐
___波子 Pro Max.几秒前
GitHub Actions配置python flake8和black
python·black·flake8
君爱学习23 分钟前
RocketMQ延迟消息是如何实现的?
后端
哈里谢顿39 分钟前
Django REST Framework 中序列化器的Meta详解
django
Falling4240 分钟前
使用 CNB 构建并部署maven项目
后端
阿蒙Amon1 小时前
【Python小工具】使用 OpenCV 获取视频时长的详细指南
python·opencv·音视频
程序员小假1 小时前
我们来讲一讲 ConcurrentHashMap
后端
爱上语文1 小时前
Redis基础(5):Redis的Java客户端
java·开发语言·数据库·redis·后端
萧曵 丶1 小时前
Rust 中的返回类型
开发语言·后端·rust
橘子编程2 小时前
Python-Word文档、PPT、PDF以及Pillow处理图像详解
开发语言·python