CSRF 跨站请求伪造

跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 **CSRF **或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。下面通过一个实例来说明：

假如在某个网站上，用户可以修改自己的邮箱地址，这个修改的操作是通过POST请求到服务器上的一个url，就像这样：

POST /email/change HTTP/1.1
Host: website.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 30
Cookie: session=yvthwsztyeQkAPzeQ5gHgTvlyxHfsAfE

email=jack@normal-user.com

黑客研究了这个请求的规律后，自己搭建了这样一个页面：

<html>
  <body>
    <form action="https://website.com/email/change" method="POST">
      <input type="hidden" name="email" value="hijack@evil-user.net" />
    </form>
    <script>
      document.forms[0].submit();
    </script>
  </body>
</html>

如果一个受害人进入了这个黑客页面，情况是：

• 1.这个页面在受害人完全不知情的情况下就往website.com 发送了修改邮箱的请求
• 2.如果受害人之前登录过website.com 网站，那么浏览器会自动带上website.com 网站的cookie(如果没有设置同源cookies的话)去请求website.com
• 3.服务器只认cookie, 看到黑客的请求里带有cookie, 就当作正常的请求处理了，网站就遭受到了黑客攻击。

django 的 CSRF防御

django项目默认会在setting 里的MIDDLEWARE 配置里添加csrf的防御中间件 'django.middleware.csrf.CsrfViewMiddleware'，原理是这样的：

django在cookie里放置一个键csrftoken，这是一个64位的字符串，每次向服务器提交数据的时候都会带上这个cookie值，同时，在post或put, delete 数据时，数据里要有csrfmiddlewaretoken 这个特殊的数据，在后台django会比较cookie里的csrftoken和请求数据里的csrfmiddlewaretoken是否匹配，如果匹配才会正常处理，否则直接报错。

django可以在form表单通过添加{% csrf_token %}来自动生成如下不可见的csrfmiddlewaretoken字段

<input type="hidden" name="csrfmiddlewaretoken" value="kdA7zoTmrLpZkRU30IsLxNxzJzCxrw9y2pY2OCAzeKteRRi9M9woQknJq2ImxTLN">

这个字段提交到后台时会通过CsrfViewMiddleware中间件来检查，不需要我们操作。

注意：上面提到的检查csrftoken和csrfmiddlewaretoken匹配的操作不是简单的逐字比较是否相同，因为如果你刷新你的表单，会发现表单的csrfmiddlewaretoken在变，而cookie里的csrftoken并没有变。
其实无论是csrftoken还是csrfmiddlewaretoken都是有两部分组成，一个随机的 salt 和 秘文secret，通过对csrftoken和csrfmiddlewaretoken分别进行加盐揭秘，最后比较是否相等。

django ajax请求问题

因为自己在javascript 里构造的ajax请求没有csrfmiddlewaretoken 这个值，所以一般ajax 通过post,put,delele 请求到后台会报csrf缺少错误，怎么办？
网上很多的答案都是简单除暴的去掉csrf校验，比如通过删掉配置文件里的CsrfViewMiddleware中间件来全局禁用csrf,或者使用@csrf_exempt装饰器装饰view来局部禁用csrf校验，
但这些方法都是不安全的，就好像你每次回家都要掏钥匙开锁觉得太麻烦，然后干脆出门不锁门一样，没有真的解决问题，而是逃避问题。

正确的解决方法是在ajax请求里手动加上csrf，
比如在模板里写ajax, 这种比较简单，但是不灵活, 没法写到js 文件里，并且每一个ajax请求都是加上csrfmiddlewaretoken

$.ajax({
    data: {
        somedata: 'somedata',
        moredata: 'moredata',
        csrfmiddlewaretoken: '{{ csrf_token }}'
    },

另一种改进的方法是设置全局的ajax参数，后面的所有请求都不用再添加csrfmiddlewaretoken了

$.ajaxSetup({
  data: {csrfmiddlewaretoken: '{{ csrf_token }}' },
});

上面两种代码因为使用了django变量，所以还是必须要写在模板文件里，不完美。

完全脱离后端的方法是在js里获取cookie值，如下：

function getCookie(name) {
# 可以使用现成的js 库https://github.com/js-cookie/js-cookie/ 来代替getCookie这个函数
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = cookies[i].trim();
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');

function csrfSafeMethod(method) {
    // these HTTP methods do not require CSRF protection
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
    beforeSend: function(xhr, settings) {
        if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken);
        }
    }
});

通过getCookie('csrftoken')获取cookie里的csrftoken，然后在$.ajaxSetup 设置请求头的X-CSRFToken 值(前面是设置请求体的csrfmiddlewaretoken)，
注意这里 function csrfSafeMethod 函数，不会对GET，HEAD，这些请求方式进行csrf保护。这就要求我们平时写代码时一定要遵守HTTP请求规范，不要在GET，HEAD，OPTIONS 这些请求里进行任何修改操作。有些人因为GET请求比较简单，把增删改查都用GET请求操作，虽然功能上可以实现，但是很危险，
举个经典的例子,假如你的网站有个链接是这样的：

href = "myAppDeleteImportantData.aspx?UserID=27"

并且google-bot出现并为您的页面编制索引？那么会发生什么？