CSRF跨域請求保護

A站為正常網站，B站為病毒網站，當我先訪問A站，本地瀏覽器會記錄cookies在本地，之后訪問B站，B站會竊取我的cookies，然后通過我的cookies就可以冒名訪問A站中我的賬戶。這就是CSRF跨站請求偽造攻擊。

在Django的form表單提交時，如果是POST方法提交，會引發(fā)CSRF跨域請求保護，解決方法為：在form表單中添加{% csrf_token %},打開網站就會在頁面生成token(令牌)來進行認證，當別人登錄會，頁面會生成完全不一樣的token，登錄時抓包會發(fā)現(xiàn)提交的form表單中會有csrfmiddlewaretoken這么一項。

HTML 的登錄表單

<!-- html中的登錄表單-->
<form class="form-signin" role="form" method="post" action="{% url 'login' %}">
    {% csrf_token %}
    <h2 class="form-signin-heading">Please sign in</h2>
    <input name="username" type="email" class="form-control" placeholder="Email address" required="" autofocus="">
    <input name="password" type="password" class="form-control" placeholder="Password" required="">
    
    <button class="btn btn-lg btn-primary btn-block" type="submit">Sign in</button>
    <span style="color: red" >{{ login_err }}</span>
</form>

登錄功能的實現(xiàn)

當點擊登錄時，會將表單提交到urls.py中的別名為login的url來處理，如：

...
urlpatterns = [
    ...
    url(r'^login/', views.login_site, name='login'),
    url(r'^logout/', views.logout_site, name='logout'),
]

處理邏輯為：如果方式為Post，獲取到提交的username和password，然后通過django的authenticate方法來驗證。

# 導入的login 和 logout 用來實現(xiàn)保持session
from django.contrib.auth import authenticate, login, logout

def login_site(request):
    if request.method == 'POST':
        username = request.POST.get('username')
        password = request.POST.get('password')
        user = authenticate(username=username, password=password)   # 使用 Django 的 authenticate 方法來驗證
        if user:
            login(request, user)    # <==
            return HttpResponseRedirect('/')
        else:
            return render(request, 'login.html', {
                'login_err': 'Please recheck your username or password !'
            })
    return render(request, 'login.html')

登出功能

def logout_site(request):
    logout(request)     # <==
    return HttpResponseRedirect('/')

HTML 頁面驗證是否登錄

頁面中需要根據是否登錄來顯示登錄狀態(tài)，登錄顯示登錄的用戶名，未登錄顯示login

...
<ul class="nav navbar-nav navbar-right">
    <!-- 驗證是否已經登錄-->
    <!-- 如果沒有登錄，則展示登錄鏈接-->
    {% if not request.user.is_authenticated %}
    <li>
        <a href="{% url 'login' %}">Login</a>
    </li>
    {% else %}  
    <!-- 如果已經登錄，則展示用戶名和下拉菜單-->
    <li class="dropdown">
        <a href="#" class="dropdown-toggle" data-toggle="dropdown" aria-expanded="false">{{ request.user.name }}<span class="caret"></span></a>
        <ul class="dropdown-menu" role="menu">
            <li><a href="#">個人信息</a></li>
            <li class="divider"></li>
            <li><a href="{% url 'logout' %}">Logout</a></li>
        </ul>
    </li>
    {% endif %}
</ul>
...

強制登錄

網站很多頁面我們需要用戶登錄才能展示，或者說打開網站時，必須先登錄。可以進行如下兩步設置：

第一步：在settings.py文件中寫明當用戶未登錄就訪問網站時的跳轉路徑。

# settings.py 文件中
LOGIN_URL = '/login/'

第二步：在需要登錄才能打開的頁面中使用login_required裝飾器

from django.contrib.auth.decorators import login_required

@login_required
def dashboard(request):
    return render(request, 'dashboard.html')
...
...