背景说明
在Django REST framework (DRF) 前后端分离项目中,解决CSRF问题通常有以下几种方法:
1. 禁用CSRF验证,但这会降低安全性。(不推荐)
2. 使用csrftoken cookie
3. 在前端每次 POST、PUT 或 DELETE 请求前先发起一个GET请求(GET请求不需要经过CSRF检查)获取CSRFToken并将响应中的CSRFToken添加到新的请求头中。(推荐)
解决思路
-
方案二
-
步骤一: 在返回给浏览器(客户端)的响应中设置 csrftoken相关的 Cookie信息(需要保证csrftoken在有效期内)
-
步骤二:在发送请求前获取最新的CSRF token,并且在前端的每次请求中都包含了这个token
// 首先,获取CSRF token function getCookie(name) { let cookieValue = null; if (document.cookie && document.cookie !== '') { const cookies = document.cookie.split(';'); for (let i = 0; i < cookies.length; i++) { const cookie = cookies[i].trim(); // 假设CSRF cookie名为csrftoken if (cookie.substring(0, name.length + 1) === (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } const csrftoken = getCookie('csrftoken'); // 然后,配置axios全局默认值 axios.defaults.headers.common['X-CSRFToken'] = csrftoken; axios.defaults.headers.common['X-Requested-With'] = 'XMLHttpRequest'; // 之后,所有通过axios发送的请求都会自动携带CSRF token
-
-
方案三
-
步骤一: 使用请求拦截器在每次 POST、PUT 或 DELETE 请求中前先发起一个GET请求获取CSRF token 添加到请求头中
// frontend.js import axios from 'axios'; const api = axios.create({ baseURL: '/api/', headers: { 'Content-Type': 'application/json' } }); api.interceptors.request.use(async config => { const { method } = config; if (method === 'post' || method === 'put' || method === 'delete') { const csrfToken = await getCSRFToken(); config.headers['X-CSRF-Token'] = csrfToken; } return config; }); async function getCSRFToken() { const response = await axios.get('/get-csrf-token/'); return response.data.csrfToken; } async function postData(url = '', data = {}) { const response = await api.post(url, data); return response.data; } postData('data/', { key: 'value' }) .then(data => { console.log(data); }); -
步骤二: 在Django后端中使用 Django REST framework 编写了类视图,实现返回csrftoken的逻辑
-
视图views.py
# views.py from rest_framework.views import APIView from rest_framework.response import Response from rest_framework import status from django.middleware.csrf import get_token class CSRFTokenView(APIView): def get(self, request): csrf_token = get_token(request) return Response({'csrfToken': csrf_token}) def post(self, request): # 处理 POST 请求的逻辑 return Response({'message': 'Data received'}, status=status.HTTP_200_OK) -
路由urls.py
# urls.py from django.urls import path from .views import CSRFTokenView urlpatterns = [ path('get-csrf-token/', CSRFTokenView.as_view(), name='get_csrf_token'), path('api/data/', CSRFTokenView.as_view(), name='post_data'), ] -
代码说明:
在这个完整的示例中,前端代码使用 axios 创建了一个名为 api 的实例,并通过请求拦截器自动添加 CSRF token 到请求头中。后端使用 Django REST framework 编写了类视图 CSRFTokenView,其中包含了获取 CSRF token 和处理 POST 请求的逻辑。最后,在 urls.py 中设置了两个路由,分别映射到获取 CSRF token 和处理 POST 请求的视图函数。
-
-
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容