Django CSRF 的原理

跨站点请求伪造（CSRF）是一种攻击，攻击者诱骗受害者访问带有恶意脚本的网站。脚本将利用受害者已登录的会话令牌向受信任的网站（如银行）提交欺诈请求。

Django 的 CSRF 防护原理

为了防止 CSRF 攻击，Django 使用以下两种令牌：

• csrftoken：存在于请求正文的 body 中，在处理 POST 请求时验证。
• csrfmiddlewaretoken：存在于请求头的 Cookie 中，在处理 GET 请求时验证。

这些令牌由服务器生成，并在请求和响应之间共享。

验证过程

• 当浏览器提交 POST 请求时，它将 csrfmiddlewaretoken 从 Cookie 中包含在请求正文中。
• Django 服务器从请求正文和 Cookie 中提取 csrfmiddlewaretoken 和 csrftoken。
• Django 比较这两个令牌是否相同。
• 如果令牌相同，则请求被视为合法。
• 如果令牌不同，则请求被拒绝，因为这表明该请求是恶意生成的。

防范跨域攻击

HTTP 中的同源策略本身就可以防止跨域请求。也就是说，浏览器不会向不同域名的网站发送请求。

但是，Django 的 CSRF 保护是多余的，因为即使攻击者能够获得csrftoken，他们也无法跨域提交 POST 请求。

浏览器不允许跨域请求

浏览器不允许跨域请求，因为出于安全考虑，防止网站未经用户许可访问其他网站的数据。