DRF 前后端分离项目如何解决CSRF 数据交互

森森森森

★ 背景说明

1. 在Django REST framework (DRF) 前后端分离项目中，解决CSRF问题通常有以下几种方法：
2. 1. 禁用CSRF验证，但这会降低安全性。(不推荐)
3. 2. 使用csrftoken cookie
4. 3. 在前端每次 POST、PUT 或 DELETE 请求前先发起一个GET请求(GET请求不需要经过CSRF检查)获取CSRFToken并将响应中的CSRFToken添加到新的请求头中。(推荐)

复制代码

★ 解决思路

• 方案二
  
  
  
  • 步骤一: 在返回给浏览器(客户端)的响应中设置 csrftoken相关的 Cookie信息(需要保证csrftoken在有效期内)
    
  • 步骤二：在发送请求前获取最新的CSRF token，并且在前端的每次请求中都包含了这个token
    1. // 首先，获取CSRF token
    2. function getCookie(name) {
    3.     let cookieValue = null;
    4.     if (document.cookie && document.cookie !== '') {
    5.         const cookies = document.cookie.split(';');
    6.         for (let i = 0; i < cookies.length; i++) {
    7.             const cookie = cookies[i].trim();
    8.             // 假设CSRF cookie名为csrftoken
    9.             if (cookie.substring(0, name.length + 1) === (name + '=')) {
    10.                 cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
    11.                 break;
    12.             }
    13.         }
    14.     }
    15.     return cookieValue;
    16. }
    17. const csrftoken = getCookie('csrftoken');
    19. // 然后，配置axios全局默认值
    20. axios.defaults.headers.common['X-CSRFToken'] = csrftoken;
    21. axios.defaults.headers.common['X-Requested-With'] = 'XMLHttpRequest';
    23. // 之后，所有通过axios发送的请求都会自动携带CSRF token

    复制代码
  
  
• 方案三
  
  
  
  • 步骤一： 使用请求拦截器在每次 POST、PUT 或 DELETE 请求中前先发起一个GET请求获取CSRF token 添加到请求头中
    1. // frontend.js
    3. import axios from 'axios';
    5. const api = axios.create({
    6.     baseURL: '/api/',
    7.     headers: {
    8.         'Content-Type': 'application/json'
    9.     }
    10. });
    12. api.interceptors.request.use(async config => {
    13.     const { method } = config;
    14.     if (method === 'post' || method === 'put' || method === 'delete') {
    15.         const csrfToken = await getCSRFToken();
    16.         config.headers['X-CSRF-Token'] = csrfToken;
    17.     }
    18.     return config;
    19. });
    21. async function getCSRFToken() {
    22.     const response = await axios.get('/get-csrf-token/');
    23.     return response.data.csrfToken;
    24. }
    26. async function postData(url = '', data = {}) {
    27.     const response = await api.post(url, data);
    28.     return response.data;
    29. }
    31. postData('data/', { key: 'value' })
    32.     .then(data => {
    33.         console.log(data);
    34. });

    复制代码
  • 步骤二： 在Django后端中使用 Django REST framework 编写了类视图，实现返回csrftoken的逻辑
    
    
    
    • 视图views.py
      1. # views.py
      2. from rest_framework.views import APIView
      3. from rest_framework.response import Response
      4. from rest_framework import status
      5. from django.middleware.csrf import get_token
      7. class CSRFTokenView(APIView):
      8.     def get(self, request):
      9.         csrf_token = get_token(request)
      10.         return Response({'csrfToken': csrf_token})
      12.     def post(self, request):
      13.         # 处理 POST 请求的逻辑
      14.         return Response({'message': 'Data received'}, status=status.HTTP_200_OK)

      复制代码
    • 路由urls.py
      1. # urls.py
      3. from django.urls import path
      4. from .views import CSRFTokenView
      6. urlpatterns = [
      7.     path('get-csrf-token/', CSRFTokenView.as_view(), name='get_csrf_token'),
      8.     path('api/data/', CSRFTokenView.as_view(), name='post_data'),
      9. ]

      复制代码
    • 代码说明：
      1. 在这个完整的示例中，前端代码使用 axios 创建了一个名为 api 的实例，并通过请求拦截器自动添加 CSRF token 到请求头中。后端使用 Django REST framework 编写了类视图 CSRFTokenView，其中包含了获取 CSRF token 和处理 POST 请求的逻辑。最后，在 urls.py 中设置了两个路由，分别映射到获取 CSRF token 和处理 POST 请求的视图函数。

      复制代码
    
    
  
  

来源:https://www.cnblogs.com/cs-songbai/p/18289072
免责声明：由于采集信息均来自互联网，如果侵犯了您的权益，请联系我们【E-Mail:cb@itdo.tech】 我们会及时删除侵权内容，谢谢合作！