Django框架(26.Django中的CSRF以及登录装饰器）

CSRF简介

CSRF全拼为Cross Site Request Forgery，译为跨站请求伪造。CSRF指攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账......造成的问题包括：个人隐私泄露以及财产安全。

CSRF示意图如下：

 

如果想防止CSRF，首先是重要的信息传递都采用POST方式而不是GET方式，接下来就说POST请求的攻击方式以及在Django中的避免。

 防止CSRF

1.Django提供了csrf中间件用于防止CSRF攻击，只需要在test4/settings.py中启用csrf中间件即可。

2.也可以在from表单后添加 {% csrf_token %}  ,也是可以防止csrf攻击的

 保护原理

实际是在from表单的后面会生成一传value属性的值，一段字符串

说明：当启用中间件并加入标签csrf_token后，会向客户端浏览器中写入一条Cookie信息，这条信息的值与隐藏域input元素的value属性是一致的，提交到服务器后会先由csrf中间件进行验证，如果对比失败则返回403页面，而不会进行后续的处理。

登录装饰器

def login_required(view_func):
    '''登录判断装饰器'''
    # view_args位置参数(接收位置参数),view_kwargs关键字参数(接收关键字参数)
    def wrapper(request,*view_args,**view_kwargs):
        # 判断用户是否登录
        if request.session.has_key("islogin"):
            # 用户已登录
            view_func(request,*view_args,**view_kwargs)
        else:
            # 用户未登录
            return redirect("/login")  # 跳转到登录视图函数
    return wrapper

用的时候可以直接给视图函数直接  使用  @login_required