登录
首页 >  文章 >  python教程

Django CSRF防护:模板与Ajax防跨站攻击详解

时间:2026-05-18 11:21:40 268浏览 收藏

Django的CSRF防护看似简单,实则处处是坑:模板中`{% csrf_token %}`失效往往因`render`漏传`request`导致上下文缺失token;Ajax请求403并非token错误,而是前端未正确读取cookie并设置`X-CSRFToken`请求头;盲目使用`@csrf_exempt`不仅多余,反而在Webhook等服务端调用场景引入安全风险,应改用签名验证;更隐蔽的是`CSRF_COOKIE_HTTPONLY=True`这类“好心办坏事”的配置,会直接阻断JavaScript获取token,让所有Ajax请求瘫痪——CSRF防御成败的关键,从来不是有无token,而是整个传递链路(生成、注入、携带、校验)是否严丝合缝。

Python Django怎么防CSRF_模板自带csrf_token标签与Ajax请求头携带防护及豁免配置

CSRF token 模板标签为什么没生效?

根本原因通常是 render 函数没传 request 对象,导致上下文里压根没注入 csrf_token。Django 的 {% csrf_token %} 不是静态字符串,它依赖 request.META['CSRF_COOKIE'] 和中间件生成的 token 值。

  • 错误写法:return render(request, 'form.html', {'data': obj}) —— 这没问题;但若用 HttpResponse 直接返回字符串、或漏传 request(比如误用 render_to_string 且没手动加 RequestContext),{% csrf_token %} 就会渲染成空
  • 检查方法:查看页面源码,确认是否真有
  • 模板中必须在
    内使用,且不能放在 if 条件外却依赖未初始化的上下文变量(如 {{ form.csrf_token }}formNone 时会静默失败)

Ajax 请求怎么带 CSRF token?

Django 默认只校验 POST/PUT/PATCH/DELETE 请求的 token,但 Ajax 默认不发 X-CSRFToken 头,服务端就直接 403 —— 不是因为 token 错,而是压根没收到。

  • 前端要读取 cookie 中的 csrftoken 值(注意不是 CSRF_COOKIE 名,实际 cookie 名由 CSRF_COOKIE_NAME 配置,默认是 csrftoken
  • jQuery 用户可统一配置:$.ajaxSetup({beforeSend: (xhr, settings) => {if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type)) {xhr.setRequestHeader('X-CSRFToken', getCookie('csrftoken'));}}});
  • 原生 fetch 更推荐在请求头里显式加:headers: {'X-CSRFToken': document.cookie.match(/csrftoken=([^;]+)/)?.[1] || ''}
  • 注意:如果用了 CSRF_COOKIE_SECURE=TrueCSRF_COOKIE_SAMESITE='Strict',本地开发(HTTP)或跨站调试时 cookie 可能不被发送,导致 token 为空

@csrf_exempt 和 @csrf_protect 怎么选?

别一看到“第三方回调”就无脑加 @csrf_exempt。Django 的 CSRF 防护只针对浏览器发起的请求,而支付网关、Webhook 等服务端到服务端调用本就不带 cookie,自然绕过校验 —— 此时加 @csrf_exempt 反而暴露漏洞面。

  • 真正需要 @csrf_exempt 的场景极少:比如你主动提供 API 给其他前端项目调用,且对方无法控制请求头(老旧系统、嵌入式设备等)
  • @csrf_protect 是默认行为,显式加它通常没必要;但它能覆盖类视图中个别方法的豁免(比如继承了 View 的类里某个方法被 @csrf_exempt 修饰过,可在类上再用 @method_decorator(csrf_protect) 强制恢复)
  • 更安全的做法是:对 Webhook 接口用签名验证(如 HMAC + timestamp),而不是关 CSRF;对内部微服务调用,走内网通信+IP 白名单

CSRF 设置项哪些动不得?

CSRF_COOKIE_HTTPONLY=True 看似增强安全,实则会让 JavaScript 读不到 csrftoken cookie,Ajax 全军覆没。这是最容易被抄错配置坑到的地方。

  • 必须保持 CSRF_COOKIE_HTTPONLY=False(默认值),否则前端拿不到 token 值
  • CSRF_USE_SESSIONS=True 把 token 存 session 而非 cookie,虽可规避 XSS 泄露风险,但要求用户已登录(session 未创建时会 500),且增加 DB/缓存压力,中小项目没必要
  • CSRF_TRUSTED_ORIGINS 必须配全前端域名(含端口,如 'http://localhost:3000'),否则即使 token 正确也会因 Origin 校验失败而 403

CSRF 的关键不在“有没有 token”,而在 token 是否随每次请求可靠传递、且服务端能否准确关联到发起方身份。cookie 设置错一个 flag,整个链路就断了。

今天关于《Django CSRF防护:模板与Ajax防跨站攻击详解》的内容介绍就到此结束,如果有什么疑问或者建议,可以在golang学习网公众号下多多回复交流;文中若有不正之处,也希望回复留言以告知!

相关阅读
更多>
最新阅读
更多>
课程推荐
更多>