DRF 前後端分離項目如何解決CSRF 數據交互

来源:https://www.cnblogs.com/cs-songbai/p/18289072
-Advertisement-
Play Games

★ 背景說明 在Django REST framework (DRF) 前後端分離項目中,解決CSRF問題通常有以下幾種方法: 1. 禁用CSRF驗證,但這會降低安全性。(不推薦) 2. 使用csrftoken cookie 3. 在前端每次 POST、PUT 或 DELETE 請求前先發起一個GE ...


★ 背景說明

在Django REST framework (DRF) 前後端分離項目中,解決CSRF問題通常有以下幾種方法:
1. 禁用CSRF驗證,但這會降低安全性。(不推薦)
2. 使用csrftoken cookie
3. 在前端每次 POST、PUT 或 DELETE 請求前先發起一個GET請求(GET請求不需要經過CSRF檢查)獲取CSRFToken並將響應中的CSRFToken添加到新的請求頭中。(推薦)

★ 解決思路

  • 方案二

    • 步驟一: 在返回給瀏覽器(客戶端)的響應中設置 csrftoken相關的 Cookie信息(需要保證csrftoken在有效期內)

    • 步驟二:在發送請求前獲取最新的CSRF token,並且在前端的每次請求中都包含了這個token

      // 首先,獲取CSRF token
      function getCookie(name) {
          let cookieValue = null;
          if (document.cookie && document.cookie !== '') {
              const cookies = document.cookie.split(';');
              for (let i = 0; i < cookies.length; i++) {
                  const cookie = cookies[i].trim();
                  // 假設CSRF cookie名為csrftoken
                  if (cookie.substring(0, name.length + 1) === (name + '=')) {
                      cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                      break;
                  }
              }
          }
          return cookieValue;
      }
      const csrftoken = getCookie('csrftoken');
       
      // 然後,配置axios全局預設值
      axios.defaults.headers.common['X-CSRFToken'] = csrftoken;
      axios.defaults.headers.common['X-Requested-With'] = 'XMLHttpRequest';
       
      // 之後,所有通過axios發送的請求都會自動攜帶CSRF token
      
  • 方案三

    • 步驟一: 使用請求攔截器在每次 POST、PUT 或 DELETE 請求中前先發起一個GET請求獲取CSRF token 添加到請求頭中

      // frontend.js
      
      import axios from 'axios';
      
      const api = axios.create({
          baseURL: '/api/',
          headers: {
              'Content-Type': 'application/json'
          }
      });
      
      api.interceptors.request.use(async config => {
          const { method } = config;
          if (method === 'post' || method === 'put' || method === 'delete') {
              const csrfToken = await getCSRFToken();
              config.headers['X-CSRF-Token'] = csrfToken;
          }
          return config;
      });
      
      async function getCSRFToken() {
          const response = await axios.get('/get-csrf-token/');
          return response.data.csrfToken;
      }
      
      async function postData(url = '', data = {}) {
          const response = await api.post(url, data);
          return response.data;
      }
      
      postData('data/', { key: 'value' })
          .then(data => {
              console.log(data);
      });
      
      
    • 步驟二: 在Django後端中使用 Django REST framework 編寫了類視圖,實現返回csrftoken的邏輯

      • 視圖views.py

        # views.py
        from rest_framework.views import APIView
        from rest_framework.response import Response
        from rest_framework import status
        from django.middleware.csrf import get_token
        
        class CSRFTokenView(APIView):
            def get(self, request):
                csrf_token = get_token(request)
                return Response({'csrfToken': csrf_token})
        
            def post(self, request):
                # 處理 POST 請求的邏輯
                return Response({'message': 'Data received'}, status=status.HTTP_200_OK)
        
        
      • 路由urls.py

        # urls.py
        
        from django.urls import path
        from .views import CSRFTokenView
        
        urlpatterns = [
            path('get-csrf-token/', CSRFTokenView.as_view(), name='get_csrf_token'),
            path('api/data/', CSRFTokenView.as_view(), name='post_data'),
        ]
        
      • 代碼說明:

        在這個完整的示例中,前端代碼使用 axios 創建了一個名為 api 的實例,並通過請求攔截器自動添加 CSRF token 到請求頭中。後端使用 Django REST framework 編寫了類視圖 CSRFTokenView,其中包含了獲取 CSRF token 和處理 POST 請求的邏輯。最後,在 urls.py 中設置了兩個路由,分別映射到獲取 CSRF token 和處理 POST 請求的視圖函數。
        

您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 1.Java基礎 1.1 為什麼Java代碼可以實現一次編寫、到處運行? 參考答案 JVM(Java虛擬機)是Java跨平臺的關鍵。 在程式運行前,Java源代碼(.java)需要經過編譯器編譯成位元組碼(.class)。在程式運行時,JVM負責將位元組碼翻譯成特定平臺下的機器碼並運行,也就是說,只要在 ...
  • 盒子IM —— 一個仿微信實現的網頁版聊天軟體,支持私聊、群聊、離線消息、發送語音、圖片、文件、emoji 表情等功能,不依賴任何第三方收費組件。 ...
  • 前言 上一篇文章香橙派5plus上跑雲手機方案一 redroid(帶硬體加速)中說了怎麼運行redroid,這篇補一下怎麼修改參數編譯內核。 補充 上篇文章有個內容需要補充一下:更新完內核需要用下麵的命令防止內核被apt更新,不然後面使用apt update又回到官方的內核(註意版本號,當前是100 ...
  • 技術債可能來源於多種原因,比如時間壓力、資源限制、技術選型不當等。它可以表現為代碼中的臨時性修補、未能徹底解決的設計問題、缺乏文檔或測試覆蓋等。雖然技術債可以幫助快速推進項目進度,但長期來看,它會增加軟體維護的成本和風險,降低系統的穩定性和可維護性。 ...
  • 大模型技術的發展和應用,預示著更加智能化、個性化未來的到來。如果將大模型比喻為正在疾馳的科技列車,語料便是珍貴的“燃料”。本次世界人工智慧大會期間,合合信息為大模型打造的“加速器”解決方案備受關註。 在大模型訓練的上游階段,“加速器”中的文檔解析引擎將助力大模型突破在書籍、論文、研報等文檔中的版面解 ...
  • 大家好,我是碼農先森。 回想起以前用模版渲染數據的歲月,那時都沒有 API 介面開發的概念。PHP 服務端和前端 HTML、CSS、JS 代碼混合式開發,也不分前端、後端程式員,大家都是全乾工程師。隨著前後端分離、移動端開發的興起,用後端渲染數據的開發方式效率低下,已經不能滿足業務對需求快速上線的要 ...
  • ★ JWT基本概念 JWT(JSON Web Token)是一種用於在網路應用之間傳遞信息的安全方式。它是一種基於 JSON 的開放標準(RFC 7519),用於在網路應用之間安全地傳輸聲明。JWT 通常用於身份驗證和授權,以及在分散式系統中傳遞聲明。 ★ JWT組成部分 JWT 由三部分組成:頭部 ...
  • 什麼是監視器(Monitor)? 在Java中,監視器(Monitor)是用來實現線程同步的一種機制。每個Java對象都有一個與之關聯的監視器,線程可以通過synchronized關鍵字來獲取和釋放對象的監視器。監視器的主要作用是確保在同一時刻只有一個線程可以執行同步塊或同步方法,從而實現線程的互斥 ...
一周排行
    -Advertisement-
    Play Games
  • 示例項目結構 在 Visual Studio 中創建一個 WinForms 應用程式後,項目結構如下所示: MyWinFormsApp/ │ ├───Properties/ │ └───Settings.settings │ ├───bin/ │ ├───Debug/ │ └───Release/ ...
  • [STAThread] 特性用於需要與 COM 組件交互的應用程式,尤其是依賴單線程模型(如 Windows Forms 應用程式)的組件。在 STA 模式下,線程擁有自己的消息迴圈,這對於處理用戶界面和某些 COM 組件是必要的。 [STAThread] static void Main(stri ...
  • 在WinForm中使用全局異常捕獲處理 在WinForm應用程式中,全局異常捕獲是確保程式穩定性的關鍵。通過在Program類的Main方法中設置全局異常處理,可以有效地捕獲並處理未預見的異常,從而避免程式崩潰。 註冊全局異常事件 [STAThread] static void Main() { / ...
  • 前言 給大家推薦一款開源的 Winform 控制項庫,可以幫助我們開發更加美觀、漂亮的 WinForm 界面。 項目介紹 SunnyUI.NET 是一個基於 .NET Framework 4.0+、.NET 6、.NET 7 和 .NET 8 的 WinForm 開源控制項庫,同時也提供了工具類庫、擴展 ...
  • 說明 該文章是屬於OverallAuth2.0系列文章,每周更新一篇該系列文章(從0到1完成系統開發)。 該系統文章,我會儘量說的非常詳細,做到不管新手、老手都能看懂。 說明:OverallAuth2.0 是一個簡單、易懂、功能強大的許可權+可視化流程管理系統。 有興趣的朋友,請關註我吧(*^▽^*) ...
  • 一、下載安裝 1.下載git 必須先下載並安裝git,再TortoiseGit下載安裝 git安裝參考教程:https://blog.csdn.net/mukes/article/details/115693833 2.TortoiseGit下載與安裝 TortoiseGit,Git客戶端,32/6 ...
  • 前言 在項目開發過程中,理解數據結構和演算法如同掌握蓋房子的秘訣。演算法不僅能幫助我們編寫高效、優質的代碼,還能解決項目中遇到的各種難題。 給大家推薦一個支持C#的開源免費、新手友好的數據結構與演算法入門教程:Hello演算法。 項目介紹 《Hello Algo》是一本開源免費、新手友好的數據結構與演算法入門 ...
  • 1.生成單個Proto.bat內容 @rem Copyright 2016, Google Inc. @rem All rights reserved. @rem @rem Redistribution and use in source and binary forms, with or with ...
  • 一:背景 1. 講故事 前段時間有位朋友找到我,說他的窗體程式在客戶這邊出現了卡死,讓我幫忙看下怎麼回事?dump也生成了,既然有dump了那就上 windbg 分析吧。 二:WinDbg 分析 1. 為什麼會卡死 窗體程式的卡死,入口門檻很低,後續往下分析就不一定了,不管怎麼說先用 !clrsta ...
  • 前言 人工智慧時代,人臉識別技術已成為安全驗證、身份識別和用戶交互的關鍵工具。 給大家推薦一款.NET 開源提供了強大的人臉識別 API,工具不僅易於集成,還具備高效處理能力。 本文將介紹一款如何利用這些API,為我們的項目添加智能識別的亮點。 項目介紹 GitHub 上擁有 1.2k 星標的 C# ...