我们都在奔赴不同的人生,只希望能在赚不到大钱的日子里能赚到比钱更珍贵的东西。
跨域问题
跨域问题发生在,浏览器向后端发起请求之后,后端向前端返回数据的时候。通常后端会正常返回数据,但是前端会判断此时返回数据的url和第一次访问前端项目url不一样,就会选择拒绝绝收数据,此时发生了跨域。这也是浏览器的同源策略所导致的。
跨域主要是指域名、端口、IP不一致,
浏览器的同源策略也避免了一些安全问题。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。
如果没有同源策略,比如用户电脑中了病毒,用户访问网站A的时候,再返回数据之前病毒会将访问未知网站B的命令塞进数据中,这时候网站B会带着正常用户的cookie去做一些未知的事情,导致用户的损失。
跨域的几种解决方案:
1、jsonp跨域,只能实现get请求
<script>标签不受同源策略的影响,将网址写到url中
2、CORS(跨域资源共享)
服务器端响应头header 添加 Access-Control-Allow-Origin
3、Nginx代理跨域
server {
listen 8888; #自身监听8888端口
server_name first;
location / {
charset utf-8; #显示中文
add_header 'Access-Control-Allow-Origin' '*'; #允许来自所有的访问地址
add_header 'Access-Control-Allow-Credentials' 'true'; #设置为true才会发送cookie
add_header 'Access-Control-Allow-Methods' 'GET, PUT, POST, DELETE, OPTIONS'; #支持请求方式
add_header 'Access-Control-Allow-Headers' 'Content-Type,*';
if ($request_method = 'OPTIONS') {
return 204;
}
proxy_pass http://127.0.0.1:8082; #匹配不到其他地址默认匹配的地址是访问 8080端口,本地node start启动的服务
}
}
前端项目常见解决跨域:
proxyTable: {
'/api': {
target: 'http://127.0.0.1:1000/', // 接口的域名
changeOrigin: true, // 如果接口跨域,需要进行这个参数配置
pathRerite:{
'^/api':'/api'
}
}
}
CSRF攻击
CSRF 攻击也可以理解为就是攻击者盗用了你的身份,然后以你的名义发送而已请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账,然后简单说就是你的个人隐私信息泄露以及财产安全。所以大多数浏览器进行了跨域请求限制,这是从浏览器层面上的对 CSRF 攻击的一种防御,但是需要注意的是在复杂的网络环境中借助浏览器来防御 CSRF 攻击并不足够,还需要从服务端或者客户端方面入手防御。
中间件
process_request
process_view
process_response
process_exception
process_render_template
中间件的csrf是如何实现的?
django.views.decorators.csrf import csrf_exempt,csrf_protect(中间件注释掉csrf,全站不用,加该方法表明某一个函数需要认证)
在process_view方法:检查是否被 @csrf_exempt 装饰(免除csrf认证)—去请求体或者cookies中获取token
FBV中可以采用直接加@csrf_exempt @csrf_protect
django.utils.decorators.method_decorators
CBV中加在对应的方法中是无效的,需要加在dispatch中,且将csrf_exempt 作为参数传入method_decorators中
方法1:
class A:
@method_decorators(csrf_exempt )
def dispatch(self,request,*args,**kwargs)
return super(.....)
方法2:
@method_decorators(csrf_exempt,name=dispatch )
class A: