---

前言

分享Python学习过程中个人知识点的理解。

一、CSRF跨站请求伪造是什么？

含义：攻击者盗用了你的身份，以你的名义发送恶意请求。

理解：正常网站发送POST请求时会把网站自身相关cookie数据一并发送，攻击者正是通过获取该网站的cookie数据，伪造用户身份发送恶意请求。

图例：

二、如何解决CSRF跨站请求伪造？

        在前端表单增加隐藏的csrf_token字段，该字段的数据来源view.py文件"from django.middleware.csrf import get_token"里get_token生成的数据，生成的数据同时也写入cookie，在接收请求POST时，判断表单的csrf_token与cookie里的csrf_token是否一致，如果一致则视为正常的请求；如果不一致，代表的是跨站请求伪造。

三、重点注意

当模版引擎为Django时，可在前端HTML模版中使用{% csrf_token %} 或者 <input type="hidden" name="csrfmiddlewaretoken" value="{{ csrf_token }}">
当模版引擎为Jinja2时，只能使用 <input type="hidden" name="csrfmiddlewaretoken" value="{{ csrf_token }}">