django中間部品を利用してdjango.middleware.crf.cfview Middlewareを防ぎます。
一、djangoのバックグラウンドで処理します。
1、djangoのsettingにdjango.com ntrib.messages.middleware.Message Middlewareを加入して、一般的に新築されたdjangoプロジェクトの中で持参することができます。
すべてのajax要求に以下の語句を加えます。
三、ajaxの複雑な対象については、例えば「{id}」:「001」、「name」:「小明」、{id]:「002」、「name」:「小軍」}といったように、バックグラウンドpostの処理があります。
このようなオブジェクトをJson形式に変換して楽屋に送らなければなりません。バックグラウンドは逆の順序で並べられます。ajaxの他のプログレッシブフォーマットを使わないでください。深さプログレッシブ後、djangoバックグラウンドの解析は難しいです。)
contentTypeはutf-8を指定する必要がありません。そうでないとpost解析エラーが発生します。
四、csrf攻撃と予防
csrfはsessionとcookieの時効性を利用して攻撃する。彼は要求のクッキーを取得して、セッションの時効内に請求します。したがって、重要な情報に対しては、重要な機能は、一回の要求処理を行う。一度失効するようにお願いします。
例えば、要求ヘッダに認証token情報を追加すると、使い切ったら無効になります。djangoのミドルウェアcsrf_tokenはこの原理で防ぐものです。
以上が本文の全部です。皆さんの勉強に役に立つように、私たちを応援してください。
1、djangoのsettingにdjango.com ntrib.messages.middleware.Message Middlewareを加入して、一般的に新築されたdjangoプロジェクトの中で持参することができます。
MIDDLEWARE_CLASSES = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
]
return render_to_response(xxx.html', context_instance=RequestContext(request))すべてのajax要求に以下の語句を加えます。
$(function () {
$.ajaxSetup({
data: {csrfmiddlewaretoken: '{{ csrf_token }}'},
});
})
三、ajaxの複雑な対象については、例えば「{id}」:「001」、「name」:「小明」、{id]:「002」、「name」:「小軍」}といったように、バックグラウンドpostの処理があります。
このようなオブジェクトをJson形式に変換して楽屋に送らなければなりません。バックグラウンドは逆の順序で並べられます。ajaxの他のプログレッシブフォーマットを使わないでください。深さプログレッシブ後、djangoバックグラウンドの解析は難しいです。)
contentTypeはutf-8を指定する必要がありません。そうでないとpost解析エラーが発生します。
四、csrf攻撃と予防
csrfはsessionとcookieの時効性を利用して攻撃する。彼は要求のクッキーを取得して、セッションの時効内に請求します。したがって、重要な情報に対しては、重要な機能は、一回の要求処理を行う。一度失効するようにお願いします。
例えば、要求ヘッダに認証token情報を追加すると、使い切ったら無効になります。djangoのミドルウェアcsrf_tokenはこの原理で防ぐものです。
以上が本文の全部です。皆さんの勉強に役に立つように、私たちを応援してください。