一、在django后臺處理

1、將django的setting中的加入django.contrib.messages.middleware.MessageMiddleware，一般新建的django項目中會自帶的。

MIDDLEWARE_CLASSES = [  'django.middleware.security.SecurityMiddleware',  'django.contrib.sessions.middleware.SessionMiddleware',  'django.middleware.common.CommonMiddleware',  'django.middleware.csrf.CsrfViewMiddleware',  'django.contrib.auth.middleware.AuthenticationMiddleware',  'django.contrib.auth.middleware.SessionAuthenticationMiddleware',   'django.contrib.messages.middleware.MessageMiddleware', ] 

2、在templete的html頁的from中添加{% csrf %}，后臺重定向語法如下：

return render_to_response(xxx.html', context_instance=RequestContext(request))

二、前端處理

對所有的ajax請求加上以下語句：

$(function () {  $.ajaxSetup({    data: {csrfmiddlewaretoken: '{{ csrf_token }}'},  });})

這樣向后臺的請求都會帶django生成的那個csrf_token值。中間件csrf模塊會截取判斷csrf_token值是否一致，如果一致則請求合法。

三、對于ajax的復雜對象，例如[{"id":"001","name":"小明"},{"id":"002","name":"小軍"}].，后臺post的處理

必須將這種對象轉化為json格式傳到后臺，后臺在反序列化即可。（不要用ajax的其他序列化格式，其深度序列化后，django后臺解析比較困難）

contentType不需要指定utf-8，否則post解析出錯

四、csrf攻擊與預防

csrf利用session和cookie的時效性進行攻擊。他會獲取請求的cookie，在session時效內進行請求。因此對于重要信息，重要功能進行單次請求處理。即請求一次失效。

例如：請求頭中加入驗證token信息，用完即失效。django的中間件csrf_token就是此原理防止的。

以上就是本文的全部內容，希望對大家的學習有所幫助，也希望大家多多支持VEVB武林網。