当前位置:
首页 > Python基础教程 >
-
DRF 前后端分离项目如何解决CSRF 数据交互
★ 背景说明
在Django REST framework (DRF) 前后端分离项目中,解决CSRF问题通常有以下几种方法:
- 禁用CSRF验证,但这会降低安全性。(不推荐)
- 使用csrftoken cookie
- 在前端每次 POST、PUT 或 DELETE 请求前先发起一个GET请求(GET请求不需要经过CSRF检查)获取CSRFToken并将响应中的CSRFToken添加到新的请求头中。(推荐)
★ 解决思路
方案二
步骤一: 在返回给浏览器(客户端)的响应中设置 csrftoken相关的 Cookie信息(需要保证csrftoken在有效期内)
步骤二:在发送请求前获取最新的CSRF token,并且在前端的每次请求中都包含了这个token
// 首先,获取CSRF token
function getCookie(name) {
let cookieValue = null;
if (document.cookie && document.cookie !== '') {
const cookies = document.cookie.split(';');
for (let i = 0; i < cookies.length; i++) {
const cookie = cookies[i].trim();
// 假设CSRF cookie名为csrftoken
if (cookie.substring(0, name.length + 1) === (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
const csrftoken = getCookie('csrftoken');
// 然后,配置axios全局默认值
axios.defaults.headers.common['X-CSRFToken'] = csrftoken;
axios.defaults.headers.common['X-Requested-With'] = 'XMLHttpRequest';
// 之后,所有通过axios发送的请求都会自动携带CSRF token
方案三
步骤一: 使用请求拦截器在每次 POST、PUT 或 DELETE 请求中前先发起一个GET请求获取CSRF token 添加到请求头中
// frontend.js
import axios from 'axios';
const api = axios.create({
baseURL: '/api/',
headers: {
'Content-Type': 'application/json'
}
});
api.interceptors.request.use(async config => {
const { method } = config;
if (method === 'post' || method === 'put' || method === 'delete') {
const csrfToken = await getCSRFToken();
config.headers['X-CSRF-Token'] = csrfToken;
}
return config;
});
async function getCSRFToken() {
const response = await axios.get('/get-csrf-token/');
return response.data.csrfToken;
}
async function postData(url = '', data = {}) {
const response = await api.post(url, data);
return response.data;
}
postData('data/', { key: 'value' })
.then(data => {
console.log(data);
});
步骤二: 在Django后端中使用 Django REST framework 编写了类视图,实现返回csrftoken的逻辑
视图views.py
# views.py
from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework import status
from django.middleware.csrf import get_token
class CSRFTokenView(APIView):
def get(self, request):
csrf_token = get_token(request)
return Response({'csrfToken': csrf_token})
def post(self, request):
# 处理 POST 请求的逻辑
return Response({'message': 'Data received'}, status=status.HTTP_200_OK)
路由urls.py
# urls.py
from django.urls import path
from .views import CSRFTokenView
urlpatterns = [
path('get-csrf-token/', CSRFTokenView.as_view(), name='get_csrf_token'),
path('api/data/', CSRFTokenView.as_view(), name='post_data'),
]
代码说明:
在这个完整的示例中,前端代码使用 axios 创建了一个名为 api 的实例,并通过请求拦截器自动添加 CSRF token 到请求头中。后端使用 Django REST framework 编写了类视图 CSRFTokenView,其中包含了获取 CSRF token 和处理 POST 请求的逻辑。最后,在 urls.py 中设置了两个路由,分别映射到获取 CSRF token 和处理 POST 请求的视图函数。
来源:https://www.cnblogs.com/cs-songbai/p/18289072
栏目列表
最新更新
VSTO 撤回代码修改的值
Web Service和Web API理解和使用场景
C# xml文档反序列化记事
再谈 Playwright:打造一体化自动化测试工
Python学习之布尔运算
Python 实现 macOS 系统代理的设置
Python 如何判断应用是否处于已打包状态
Python 跨平台路径格式不一致问题
golang 的OOP 面向对象编程
Fins TCP协议理解及C#实现思路
数据库审计与智能监控:从日志分析到异
SQL Server 中的数据类型隐式转换问题
SQL Server中T-SQL 数据类型转换详解
sqlserver 数据类型转换小实验
SQL Server数据类型转换方法
SQL Server 2017无法连接到服务器的问题解决
SQLServer地址搜索性能优化
Sql Server查询性能优化之不可小觑的书签查
SQL Server数据库的高性能优化经验总结
SQL SERVER性能优化综述(很好的总结,不要错
uniapp/H5 获取手机桌面壁纸 (静态壁纸)
[前端] DNS解析与优化
为什么在js中需要添加addEventListener()?
JS模块化系统
js通过Object.defineProperty() 定义和控制对象
这是目前我见过最好的跨域解决方案!
减少回流与重绘
减少回流与重绘
如何使用KrpanoToolJS在浏览器切图
performance.now() 与 Date.now() 对比