csrf(跨站請求偽造)

跨站請求偽造如何體現出功能?

每個用戶的form表單都會生成一個字元串,當然(這個後端是肯定知道這個字元串是什麼,因為他們公用一套加密方案).假設現在有一個釣魚網站想模仿正經網站,比如A向B轉100元錢,但是釣魚網站卻不知道form表單的字元串是多少,即使偽造了一個網站(首頁顯示一模一樣),填寫了相關信息後,向正經網站後臺發送轉款請求,但是,由於沒有特有的字元串,會被後臺認為該請求是偽造請求,從而無法實現轉款,

return render(request, 'index.html')

可以得知，每次return 時，都會攜帶一些信息由request返回，這裡面就攜帶，比如csrftoken的相關信息，這樣，當提交表單時候，我們可以將csrf傳遞到後端，檢測是否和傳到前端時一樣，如果一樣，則接受表單數據，否則，拒絕接受表單數據。