一、CSRF：保護機制

Django預防CSRF攻擊的方法是在用戶提交的表單中加入一個csrftoken的隱含值，這個值和服務器中保存的csrftoken的值相同，這樣做的原理如下:

1、在用戶訪問django的可信站點時，django反饋給用戶的表單中有一個隱含字段csrftoken，這個值是在服務器端隨機生成的，每一次提交表單都會生成不同的值

2、當用戶提交django的表單時，服務器校驗這個表單的csrftoken是否和自己保存的一致，來判斷用戶的合法性

3、當用戶被csrf攻擊從其他站點發送精心編制的攻擊請求時，由于其他站點不可能知道隱藏的csrftoken字段的信息這樣在服務器端就會校驗失敗，攻擊被成功防御

二、CORS：跨域訪問

舉例：前端和后端分別是兩個不同的端?

前端：127.0.0.1:8081
后端：192.168.17.129:8880

現在，前端與后端分別是不同的端?，這就涉及到跨域訪問數據的問題，因為瀏覽器的同源策略，默認是不?持兩個不同域名間相互訪問數據，?我們需要在兩個域名間相互傳遞數據，這時我們就要為后端添加跨域訪問的?持。

django后端設置：

1、使用django-cors-headers擴展 a、安裝

pip install django-cors-headers

b、添加子應用

INSTALLED_APPS = [ 
	... 
	'corsheaders', 
	...
]

c、中間件配置

MIDDLEWARE = [ 
	'corsheaders.middleware.CorsMiddleware',
	 ...
 ]

d、添加白名單

# 設置CORS?名單
CORS_ORIGIN_WHITELIST = ( 
	'http://127.0.0.1:8081',
	'http://127.0.0.1:8080', 
	'http://localhost:8080', 
	'http://www.nagle.cn:8080', 
	'http://api.nagle.cn:8083',
)

CORS_ALLOW_CREDENTIALS = True # 允許攜帶cookie

凡是出現在?名單中的域名，都可以訪問后端接?CORS_ALLOW_CREDENTIALS 指明在跨域訪問中，后端是否?持對cookie的操作。

2、跨域實現流程 a、瀏覽器會第一次先發送OPTIONS請求詢問后端是否允許跨域，后端查詢白名單中是否有這個域名 b、如果域名在白名單列表中則響應結果中告知瀏覽器允許跨域 c、瀏覽器第二次發送POST請求，攜帶用戶登錄數據到后端，完成登錄驗證操作