开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

禁止(未设置CSRF cookie。)从Vue.js向Django发送POST/DELETE请求时

基础概念

CSRF（跨站请求伪造）是一种常见的Web安全漏洞，攻击者通过伪造用户的请求来执行非预期的操作。为了防止这种攻击，许多框架（如Django）提供了CSRF保护机制。

CSRF Cookie：服务器在用户首次访问时生成一个随机的CSRF令牌，并将其存储在用户的浏览器cookie中。每次发送POST/DELETE等敏感请求时，客户端需要将这个令牌包含在请求中，以便服务器验证请求的合法性。

相关优势

安全性：有效防止CSRF攻击，保护用户数据不被恶意篡改。
简单易用：大多数现代Web框架都内置了CSRF保护机制，使用起来非常方便。

类型与应用场景

类型：

同步CSRF保护：通过cookie和表单字段传递CSRF令牌。
异步CSRF保护：通过自定义HTTP头或特定的请求参数传递CSRF令牌。

应用场景：

Web应用：特别是涉及到用户数据修改的POST/DELETE请求。
API服务：对外提供的RESTful API需要防止CSRF攻击。

问题原因及解决方法

问题原因

当你从Vue.js向Django发送POST/DELETE请求时，如果没有设置CSRF cookie，Django会认为这是一个未经验证的请求，并拒绝处理。

解决方法

在Django中启用CSRF保护：确保在Django的settings.py中启用了CSRF中间件：
在Django中启用CSRF保护：确保在Django的settings.py中启用了CSRF中间件：
在Vue.js中设置CSRF Token：在发送请求之前，从cookie中读取CSRF token，并将其添加到请求头中。
示例代码：
示例代码：
使用Django REST Framework的CSRF exempt装饰器（不推荐用于敏感操作）：如果你确定某个视图不需要CSRF保护，可以使用@csrf_exempt装饰器，但请谨慎使用。
使用Django REST Framework的CSRF exempt装饰器（不推荐用于敏感操作）：如果你确定某个视图不需要CSRF保护，可以使用@csrf_exempt装饰器，但请谨慎使用。

通过以上方法，你可以有效地解决从Vue.js向Django发送POST/DELETE请求时遇到的CSRF问题。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Spring Security---跨域访问和跨站攻击问题详解

所谓同源策略就是在浏览器端出于安全考量，向服务端发起请求必须满足：协议相同、Host(ip)相同、端口相同的条件，否则访问将被禁止，该访问也就被称为跨域访问。...长话短说，同源策略就是向服务端发起请求的时候，以下三项必须与当前浏览器应用一致：域名、端口、协议。用白话说：就是你的应用发送请求不能访问别人的资源，否则浏览器就会限制你。...但是你会发现在跨域请求的情况下，我们的POST、DELETE、PUT等HTTP请求方式失效了。...至此，我们生成了CSRF token保存在了cookies中，浏览器向服务端发送的HTTP请求，都要将CSRF token带上，服务端校验通过才能正确的响应。...---- 前端请求携带CSRF Token的方式默认情况下，CookieCsrfTokenRepository会向cookies中写入一个key为XSRF-TOKEN的cookie。

1.6K1 1

09.Django基础七之Ajax

// 从Cookie取csrftoken，并设置到请求头中 data: {"username": "chao", "password": 123456}, success: function (...如果你的视图渲染的HTML文件中没有包含 {% csrf_token %}，Django可能不会设置CSRFtoken的cookie。　　　　　　...这个时候需要使用ensure_csrf_cookie()装饰器强制设置Cookie。...return HttpResponse(json.dumps("hello2")) 　　　　　　当点击项目1的按钮时，发送了请求，但是会发现报错如下：已拦截跨源请求：同源策略禁止读取位于 http...“预检”请求时，允许请求方式则需服务器设置响应头：Access-Control-Request-Method “预检”请求时，允许请求头则需服务器设置响应头：Access-Control-Request-Headers

3.6K2 0

10.Django基础八之cookie和session

从双方接通电话那一刻起，会话就开始了，到某一方挂断电话表示会话结束。在通话过程中，你会向10086发出多个请求，那么这多个请求都在一个会话中。...也就是说在你使用IE访问服务器时，服务器会把Cookie发给IE，然后由IE保存起来，当你在使用FireFox访问服务器时，不可能把IE保存的Cookie发送给服务器。...cookie设置中文时的编码问题：cookie在设置时不允许出现中文。...备注：　　　　　　　　csrf_protect，为当前函数强制设置防跨站请求伪造功能，即便settings中没有设置全局中间件。　　　　　　　　...csrf_exempt，取消当前函数防跨站请求伪造功能，即便settings中设置了全局中间件。

8402 0

Django解决跨域问题

针对旧项目Django模块开发，解决部分API请求的跨域问题解决的思路对于这种情况，较好的方式就是自己手写一个视图类，用来忽略csrf token的认证。...请求 application/x-wwww-form-urlencoded // 发送 POST 请求 axios({ method: 'post',...://github.com/adamchainz/django-cors-headers 首先演示一下存在的跨域问题 1.准备好一个视图函数处理 post put delete 请求 # ex: /...2.3 跨域中间件的行为设置 CORS_ALLOW_CREDENTIALS = True # 如果为True，则将允许将cookie包含在跨站点HTTP请求中。默认为False。...'VIEW', ) # 发出请求时可以使用的非标准HTTP标头的列表。

1.7K0 0

Cookie、Session

什么是Cookie Cookie具体指的是一段小信息，它是服务器发送出来存储在浏览器上的一组组键值对，下次访问服务器时浏览器会自动携带这些键值对，以便服务器提取有用信息。...Cookie的原理 Cookie的工作原理是：由服务器产生内容，浏览器收到请求后保存在本地；当浏览器再次访问时，浏览器会自动带上Cookie，这样服务器就能通过Cookie的内容来判断这个是“谁”了。...login/") rep.delete_cookie("user") # 删除用户浏览器上之前设置的usercookie值 return rep Session Session的由来...备注： csrf_protect，为当前函数强制设置防跨站请求伪造功能，即便settings中没有设置全局中间件。...csrf_exempt，取消当前函数防跨站请求伪造功能，即便settings中设置了全局中间件。

1K2 0

Django+Vue项目学习第五篇：vue+django发送post请求，解决csrf认证问题

本篇介绍如何在vue端向django发送post请求，以及django处理post请求的方式这次要实现的功能是：点击【身份证ID】生成指定数量的身份证号 1....，得到如下结果，仍然报错了这次的错误是CSRF验证失败通过查资料得知，这个是django特意加的一个csrf认证，当发送post请求，向服务器提交数据时都要做这个验证，很蛋疼~~ 为了解决这个问题...提取cookie中的csrftoken 这个cookie应该是django服务器向客户端发送的，通过它来完成csrf验证，post请求必须拿到cookie中的csrftoken然后跟着请求一起发送才行！...：django配置好跨域允许携带cookie后，并且axios也配置好允许携带cookie，发送post请求时，Django会自动发给客户端一个cookie 我们需要把这个cookie中的csrftoken...拿出来再赋给请求头中的 X-CSRFToken，这样才能通过csrf认证打开chrom浏览器控制台，切换到Application，找到如下位置发post请求时，这里会自动多出一个cookie

4K2 0

CSRF 原理与防御案例分析

我们知道，当我们使用 img 等标签时，通过设置标签的 src 等属性引入外部资源，是可以被浏览器认为是合法的跨域请求，也就是说是可以带上 Cookie 访问的。...当 b.com 的用户在 cookie 为过期的情况下访问 a.com，此时浏览器会向 b.com 发送一个指向http://b.com/del?...这个就是 Django 的 CSRF 防御机制，当我们发送 POST 请求时 Django 会自动检测 CSRF_Token 值是否正确。...%}这串代码被 Django 解析成了一个隐藏的input标签，其中的值为 token 值，当我们发送请求时必须带上这个值。...只有这样 Django 才会接受 POST 请求来的数据，否则返回错误，并且原登陆页面的 CSRF_Token 重新生成，上一个进行销毁，很大程度上防御住了 POST 请求的 CSRF。 ?

2.3K3 0

【Django跨域】一篇文章彻底解决Django跨域问题！

换言之，它允许浏览器向声明了 CORS 的跨域服务器，发出 XMLHttpReuest 请求，从而克服 Ajax 只能同源使用的限制。在我们的django框架中就是利用CORS来解决跨域请求的问题。...', # 'django.middleware.csrf.CsrfViewMiddleware', 如果你的项目没有考虑到 csrf 网络攻击,可注释掉,否则会报错没有传递 csrf cookie...# 配置允许的请求方式 CORS_ALLOW_METHODS = [ '*', # * 表示允许全部请求头 'GET', 'POST', 'PUT', 'PATCH...secure：HTTPS传输时应设置为true，默认为false httponly：值应用于http传输，这时JavaScript无法获取 SameSite属性详解 Lax Cookies 允许与顶级导航一起发送...Strict Cookies 只会在第一方上下文中发送，不会与第三方网站发起的请求一起发送。 None Cookie 将在所有上下文中发送，即允许跨站发送。

6.2K3 2

Django对中间件的调用思想、csrf中间件详细介绍、Django settings源码剖析、Django的Auth模块

从服务端的角度来解决这个问题的思路就是如果每次服务端都能识别出来向我提交请求的是我自己的页面还是别人的页面，那么钓鱼网站就无法在用户访问服务器的过程中伪装成服务端网页给服务端发送转账请求了。...Django csrf中间件当用户访问有Django csrf中间件的服务端时Django csrf中间件会给用户的get请求的页面携带一个随机字符串，当用户发送post请求时会校验用户的随机字符串，...如果如果校验不通过则直接报403错误，禁止用户提交post请求。...请求的通常是form表单和ajax请求，Djangocsrf中间件在两种post请求中的使用方式是不同的，具体使用方法如下： form表单我们只需在form表单中添加{% csrf_token %}。...当调用该函数时，当前请求的session信息会全部清除。该用户即使没有登录，使用该函数也不会报错。

8811 0

Cookie、Session登陆验证相关介绍和用法

login/") rep.delete_cookie("user") # 删除用户浏览器上之前设置的usercookie值 return rep 登录认证示例：需要知道几点一共有三次请求...http://127.0.0.1:8080/login post请求 user pasw 　　　　第一次请求：url:http://127.0.0.1:8080/main post请求携带着cookie...这种方式下，Session在保存到缓存的同时还会被保存到数据库中，当Django在缓存中找不到Session时，会从数据库中找到。第二种方式会有一点点性能开销，但是安全性和冗余性更好。 3....return redirect("/index/") 中间件CSRF Token CSRF Token相关装饰器在CBV只能加到dispatch方法上备注： csrf_protect，为当前函数强制设置防跨站请求伪造功能...csrf_exempt，取消当前函数防跨站请求伪造功能，即便settings中设置了全局中间件。

2.8K7 1

AJAX使用说明书

AJAX除了异步的特点外，还有一个就是：浏览器页面局部刷新；（这一特点给用户的感受是在不知不觉中完成请求和响应过程） AJAX优点 AJAX使用JavaScript技术向服务器发送异步请求； AJAX请求无须刷新整个页面...注意其他http请求方法，例如put和delete也可以使用，但仅部分浏览器支持。 3.timeout 要求为Number类型的参数，设置请求超时时间（毫秒）。...5.cache 要求为Boolean类型的参数，默认为true（当dataType为Script时，默认为false），设置false将不会从浏览器缓存中加载请求信息。...AJAX请求如何设置csrf_token 方式1 通过获取隐藏的input标签中的csrfmiddlewaretoken值，放置在data中发送。...')}, // 从Cookie取csrf_token，并设置ajax请求头 data: {"username": "fuyong", "password": 123456}, success:

2.7K7 0

CSRF攻击原理场景

那么因为在发送请求的时候，浏览器会自动的把cookie发送给对应的服务器，这时候相应的服务器（比如ICBC网站），就不知道这个请求是伪造的，就被欺骗过去了。...从而达到在用户不知情的情况下，给某个服务器发送了一个请求（比如转账）。防御CSRF攻击：CSRF攻击的要点就是在向服务器发送请求的时候，相应的cookie会自动的发送给对应的服务器。...以后给服务器发送请求的时候，必须在body中以及cookie中都携带csrf_token，服务器只有检测到cookie中的csrf_token和body中的csrf_token都相同，才认为这个请求是正常的...我们可以从返回的cookie中提取csrf token，再设置进去。...也就是说可以发送跨域请求。

9754 0

Cookie和Session

cookie具体指的是一段小信息，它是服务器发送出来存储在浏览器上的一组组键值对，下次访问服务器时浏览器会自动携带这些键值对，以便服务器提取有用信息。...login/") rep.delete_cookie("user") # 删除用户浏览器上之前设置的usercookie值 return rep Cookie版登陆校验 def check_login...return redirect("/index/") 补充 CSRF Token相关装饰器在CBV只能加到dispatch方法上备注： csrf_protect，为当前函数强制设置防跨站请求伪造功能，...csrf_exempt，取消当前函数防跨站请求伪造功能，即便settings中设置了全局中间件。...from django.views.decorators.csrf import csrf_exempt, csrf_protect class HomeView(View): @method_decorator

9578 0

Django中请求的生命周期

当用户在浏览器中输入url时,浏览器会生成请求头和请求体发给服务端请求头和请求体中会包含浏览器的动作(action),这个动作通常为get或者post,体现在url之中. 2. url经过Django...nid=user 这个url中, 客户端通过get请求向服务端发送的nid=user的请求,服务端可以通过request.GET.get("nid")的方式取得nid数据客户端还可以通过post的方式向服务端请求数据...当客户端以post的方式向服务端请求数据的时候,请求的数据包含在请求体里,这时服务端就使用request.POST的方式取得客户端想要取得的数据需要注意的是,request.POST是把请求体的数据转换一个字典...Django请求生命周期之响应内容 http提交数据的方式有"post","get","put","patch","delete","head","options","trace"....POST请求可能会导致新的资源的建立和/或已有资源的修改。 4 PUT 从客户端向服务器传送的数据取代指定的文档的内容。 5 DELETE 请求服务器删除指定的页面。

2.7K10 0

Django-中间件-csrf扩展请求伪造拦截中间件-Django Auth模块使用-效仿 django 中间件配置实现功能插拔式效果-09

csrf 中间件跨站请求伪造 post请求提交数据通过 csrf 校验 form 表单 ajax 发送 csrf 装饰器相关未注释掉 csrf 中间件时单功能取消 csrf 校验：csrf_exempt...post 请求都会写上先去 settings.py 里把 csrf 这个中间件暂时注释掉了 django 请求生命周期 ***** 经过中间件之后才能进入 urls.py（再 views.py ....中间件跨站请求伪造钓鱼网站原理：写了一个一模一样的网站，一个隐藏框，发送往隐藏当做收钱方问题：如何区分当前用户朝我们网站发送的请求页面是不是我们本网站给的防止思路网站会给返回给用户的 form...不同浏览器绝对不一样 post请求提交数据通过 csrf 校验 form 表单 form 表单发送 post 请求的时候，需要你做的是写一段代码 {% csrf_token %} 即可，不需要注释 csrf...@csrf_protect 未注释掉 csrf 中间件时单功能取消 csrf 校验：csrf_exempt FBV from django.views.decorators.csrf import

1.4K5 0

Django 安全之跨站点请求伪造（CSRF）保护

Django 安全之跨站点请求伪造（CSRF）保护 by:授客 QQ：1033553122 测试环境 Win7 Django 1.11 跨站点请求伪造（CSRF）保护中间件配置默认的CSRF中间件在...method="post"> {% csrf_token %} ...... 注意：如果被渲染的view视图未使用csrf_token模板标签，Django可能不会设置CSRF token cookie。...这种情况下，假如有必要，可以使用Django提供的 @ensure_csrf_cookie()装饰器强制view视图发送CSRF cookie。...from django.views.decorators.csrf import ensure_csrf_cookie @ensure_csrf_cookie() def specific_view(request

1.2K1 0

前端网络安全常见面试题速查

Cross-site request forgery（跨站请求伪造）：攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。...# 典型流程受害者登录 a.com，并保留了登录凭证（Cookie）攻击者引诱受害者访问了 b.com b.com 向 a.com 发送一个请求：a.com/atc=xx，浏览器会默认携带 a.com...提交时要求附加本域才能获取的信息 CSRF Token 双重 Cookie 验证同源检测禁止外域（或者不受信任的域名）发起请求使用 Origin Header 确定来源域名：在部分与...Ajax 和表单请求携带一个 Cookie 中的值流程：在用户访问网站页面时，向请求域名下注入一个 Cookie，内容为随机字符串（如csrfcookie=v8g9e4ksfhw）在前端向后端发起请求时...一般过程：客户端发送请求到服务端，请求被中间人截获服务器向客户端发送公钥中间人截获公钥，保留在自己手上。

6893 2

cookie、session、分页

1、什么是cookie Cookie具体指的是一段小信息，它是服务器发送出来存储在浏览器上的一组组键值对，下次访问服务器时浏览器会自动携带这些键值对，以便服务器提取有用信息。...2、cookie的原理 cookie的工作原理是：由服务器产生内容，浏览器收到请求后保存在本地；当浏览器再次访问时，浏览器会自动带上Cookie，这样服务器就能通过Cookie的内容来判断这个是“谁”了..."/login/") rep.delete_cookie("user") # 删除用户浏览器上之前设置的usercookie值 return rep ?...备注： csrf_protect，为当前函数强制设置防跨站请求伪造功能，即便settings中没有设置全局中间件。...csrf_exempt，取消当前函数防跨站请求伪造功能，即便settings中设置了全局中间件。

2.1K1 0

XSS、CSRFXSRF、CORS介绍「建议收藏」

2 CSRF/XSRF 2.1 名词解释 CSRF，即：Cross Site Request Forgery，中译是跨站请求伪造，是一种劫持受信任用户向服务器发送非预期请求的攻击方式。...2.2 作用原理通常情况下，CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任，可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器，从而在并未授权的情况下执行在权限保护之下的操作...此时，Referer 的值是 http://www.c.com；当请求是从 www.a.com 发起时，Referer 的值是 http://www.a.com 了。...当然，最理想的做法是使用REST风格的API接口设计，GET、POST、PUT、DELETE 四种请求方法对应资源的读取、创建、修改、删除。...也可以使用隐藏域指定请求方法，然后用POST模拟PUT和DELETE（Ruby on Rails 的做法）。这么一来，不同的资源操作区分的非常清楚。

1.5K2 0

密码学系列之:csrf跨站点请求伪造

CSRF的特点在CSRF的恶意攻击中，攻击者的目标是让被攻击者在不知不觉中向有权限访问的网站提交恶意的web请求。...CSRF攻击利用了此属性，因为浏览器发出的任何Web请求都将自动包含受害者登录网站时创建的任何cookie（包括会话cookie和其他cookie）。...如果以其他任何格式（JSON，XML）发送数据，标准方法是使用XMLHttpRequest发出POST请求，并通过同源策略（SOP）和跨域资源共享（CORS）防止CSRF攻击。...SameSite cookie attribute 当服务器设置cookie时，可以包含一个附加的“ SameSite”属性，指示浏览器是否将cookie附加到跨站点请求。...如果将此属性设置为“strict”，则cookie仅在相同来源的请求中发送，从而使CSRF无效。但是，这需要浏览器识别并正确实现属性，并且还要求cookie具有“Secure”标志。

2.6K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭