Python中的CSRF攻击与CORS验证

CSRF攻击：

CSRF（Cross-Site Request Forgery，跨站要求捏造），是一种常见的Web攻击方式，它利用用户已登陆了某个网站的身份，欺骗用户在未经意的情况下向指定的目标站点发送要求。攻击者被授权履行的操作包括发送电子邮件、发帖、加好友等，特别合适利用用户信任关系进行钓鱼欺骗等犯法行动。

防御CSRF攻击的方法是生成随机的token值，并将其存储在用户的会话中，每次要求时将该token值添加到要求参数中，并在服务器端进行验证。只有当token值是正确的才会履行要求，否则将被视为CSRF攻击。

下面是一个使用Django框架中的CSRF进行防御的例子，其中对POST要求，Django会自动验证token。

from django.views.decorators.csrf import csrf_exempt,csrf_protect

# 添加csrf验证装潢器
@csrf_protect
def my_view(request):
    if request.method == 'POST':
        # 处理POST要求
        pass
    else:
        # 处理GET要求
        pass

CORS验证：

CORS（Cross-Origin Resource Sharing，跨域资源同享），是一种用于解决ajax跨域访问的技术，其核心思想是通过在服务器端设置响应头让浏览器允许发出跨域ajax要求。

例如，一个网站在浏览器中发出ajax要求获得另外一个网站的数据，由于同源策略的限制，要求会被谢绝。为了解决这个问题，可以在被要求的网站中设置允许跨域访问的响应头，例如允许来自该站点的所有要求访问：

from django.views.decorators.csrf import ensure_csrf_cookie 
from django.views.decorators.http import require_http_methods
from django.http import JsonResponse

# 添加cors验证装潢器
@ensure_csrf_cookie
@require_http_methods(['GET', 'POST']) 
def my_view(request):
    data = {'message', 'Hello World'}
    response = JsonResponse(data) 
    response['Access-Control-Allow-Origin'] = '*'  
    response['Access-Control-Allow-Headers'] = 'Content-Type' 
    return response

在这个例子中，使用了Django框架的JsonResponse方法返回数据，并通过设置响应头允许跨域访问。其中，'Access-Control-Allow-Origin' 表示允许跨域资源访问的要求源，*表示所有。'Access-Control-Allow-Headers' 表示跨域要求允许的头部信息，例如Content-Type、Authorization等。

需要注意的是，由于允许跨域访问可能致使数据泄漏等安全问题，因此设置响应头时需要谨慎处理，仅允许必要的访问范围。