csrf_token验证过程
csrf_token,跨站请求伪造保护
#写法
{% csrf_token %}
csrf_token
我们以post方式提交表单的时候,会报错,我们在settings里面的中间件配置里面把一个csrf的防御机制给注销了,本身不应该注销的,而是应该学会怎么使用它,并且不让自己的操作被forbiden,通过这个东西就能搞定。
这个标签用于跨站请求伪造保护,
在页面的form表单里面(注意是在form表单里面)任何位置写上{% csrf_token %},这个东西模板渲染的时候替换成了<input type="hidden" name="csrfmiddlewaretoken" value="8J4z1wiUEXt0gJSN59dLMnktrXFW0hv7m4d40Mtl37D7vJZfrxLir9L3jSTDjtG8">,隐藏的,这个标签的值是个随机字符串,提交的时候,这个东西也被提交了,首先这个东西是我们后端渲染的时候给页面加上的,那么当你通过我给你的form表单提交数据的时候,你带着这个内容我就认识你,不带着,我就禁止你,因为后台我们django也存着这个东西,和你这个值相同的一个值,可以做对应验证是不是我给你的token,就像一个我们后台给这个用户的一个通行证,如果你用户没有按照我给你的这个正常的页面来post提交表单数据,或者说你没有先去请求我这个登陆页面,而是直接模拟请求来提交数据,那么我就能知道,你这个请求是非法的,反爬虫或者恶意攻击我的网站
csrf_token验证过程
1.浏览器请求服务端的index.html
2.服务端index.html中有 {% csrf_token %}
,这个代码会把csrf_token渲染成一个input标签
3.服务端会把2中渲染的input标签的内容加入到响应数据中,cookie会加入到响应头中,格式如下
cookie信息render('login').set_cookie('csrftoken','xxoo')
渲染后input标签中的value值input name='csrfmiddiewaretoken' value='xxoo'
4.浏览器第二次请求就会拿到服务端返回的cookie和input标签中的value值
5.服务端收到浏览器请求内容后,会拿到cookie和value值,然后django会用cookie、value值的后几位通过一种算法解密前几位,如果解密后的结果一致则通过验证