一、CSRF：保護機制

Django預防CSRF攻擊的方法是在用戶提交的表單中加入一個csrftoken的隱含值，這個值和服務器中保存的csrftoken的值相同，這樣做的原理如下:

1、在用戶訪問django的可信站點時，django反饋給用戶的表單中有一個隱含字段csrftoken，這個值是在服務器端隨機生成的，每一次提交表單都會生成不同的值

2、當用戶提交django的表單時，服務器校驗這個表單的csrftoken是否和自己保存的一致，來判斷用戶的合法性

3、當用戶被csrf攻擊從其他站點發送精心編制的攻擊請求時，由於其他站點不可能知道隱藏的csrftoken字段的信息這樣在服務器端就會校驗失敗，攻擊被成功防御

二、CORS：跨域訪問

舉例：前端和後端分別是兩個不同的端⼝

前端：127.0.0.1:8081
後端：192.168.17.129:8880

現在，前端與後端分別是不同的端⼝，這就涉及到跨域訪問數據的問題，因為浏覽器的同源策略，默認是不⽀持兩個不同域名間相互訪問數據，⽽我們需要在兩個域名間相互傳遞數據，這時我們就要為後端添加跨域訪問的⽀持。

django後端設置：

1、使用django-cors-headers擴展

a、安裝

pip install django-cors-headers

b、添加子應用

INSTALLED_APPS = [
...
'corsheaders',
...
]

c、中間件配置

MIDDLEWARE = [
'corsheaders.middleware.CorsMiddleware',
...
]

d、添加白名單

# 設置CORS⽩名單
CORS_ORIGIN_WHITELIST = (
'http://127.0.0.1:8081',
'http://127.0.0.1:8080',
'http://localhost:8080',
'http://www.nagle.cn:8080',
'http://api.nagle.cn:8083',
)
CORS_ALLOW_CREDENTIALS = True # 允許攜帶cookie

凡是出現在⽩名單中的域名，都可以訪問後端接⼝CORS_ALLOW_CREDENTIALS 指明在跨域訪問中，後端是否⽀持對cookie的操作。

2、跨域實現流程

a、浏覽器會第一次先發送OPTIONS請求詢問後端是否允許跨域，後端查詢白名單中是否有這個域名

b、如果域名在白名單列表中則響應結果中告知浏覽器允許跨域

c、浏覽器第二次發送POST請求，攜帶用戶登錄數據到後端，完成登錄驗證操作