一、CSRF：保護(hù)機(jī)制

Django預(yù)防CSRF攻擊的方法是在用戶提交的表單中加入一個csrftoken的隱含值，這個值和服務(wù)器中保存的csrftoken的值相同，這樣做的原理如下:

1、在用戶訪問django的可信站點(diǎn)時，django反饋給用戶的表單中有一個隱含字段csrftoken，這個值是在服務(wù)器端隨機(jī)生成的，每一次提交表單都會生成不同的值

2、當(dāng)用戶提交django的表單時，服務(wù)器校驗(yàn)這個表單的csrftoken是否和自己保存的一致，來判斷用戶的合法性

3、當(dāng)用戶被csrf攻擊從其他站點(diǎn)發(fā)送精心編制的攻擊請求時，由于其他站點(diǎn)不可能知道隱藏的csrftoken字段的信息這樣在服務(wù)器端就會校驗(yàn)失敗，攻擊被成功防御

二、CORS：跨域訪問

舉例：前端和后端分別是兩個不同的端?

前端：127.0.0.1:8081
后端：192.168.17.129:8880

現(xiàn)在，前端與后端分別是不同的端?，這就涉及到跨域訪問數(shù)據(jù)的問題，因?yàn)闉g覽器的同源策略，默認(rèn)是不?持兩個不同域名間相互訪問數(shù)據(jù)，?我們需要在兩個域名間相互傳遞數(shù)據(jù)，這時我們就要為后端添加跨域訪問的?持。

django后端設(shè)置：

1、使用django-cors-headers擴(kuò)展 a、安裝

pip install django-cors-headers

b、添加子應(yīng)用

INSTALLED_APPS = [ 
	... 
	'corsheaders', 
	...
]

c、中間件配置

MIDDLEWARE = [ 
	'corsheaders.middleware.CorsMiddleware',
	 ...
 ]

d、添加白名單

# 設(shè)置CORS?名單
CORS_ORIGIN_WHITELIST = ( 
	'http://127.0.0.1:8081',
	'http://127.0.0.1:8080', 
	'http://localhost:8080', 
	'http://www.nagle.cn:8080', 
	'http://api.nagle.cn:8083',
)

CORS_ALLOW_CREDENTIALS = True # 允許攜帶cookie

凡是出現(xiàn)在?名單中的域名，都可以訪問后端接?CORS_ALLOW_CREDENTIALS 指明在跨域訪問中，后端是否?持對cookie的操作。

2、跨域?qū)崿F(xiàn)流程 a、瀏覽器會第一次先發(fā)送OPTIONS請求詢問后端是否允許跨域，后端查詢白名單中是否有這個域名 b、如果域名在白名單列表中則響應(yīng)結(jié)果中告知瀏覽器允許跨域 c、瀏覽器第二次發(fā)送POST請求，攜帶用戶登錄數(shù)據(jù)到后端，完成登錄驗(yàn)證操作