Django框架(十七)—— 中间件、CSRF跨站请求伪造

其他 2019-04-27 16:54:43 阅读次数: 0

中间件

一、什么是中间件

中间件是介于request与response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出

二、中间件的作用

如果你想修改请求,例如被传送到view中的HttpRequest对象。 或者你想修改view返回的HttpResponse对象,这些都可以通过中间件来实现。

可能你还想在view执行之前做一些操作,这种情况就可以用 middleware来实现。

Django默认的中间件:(在django项目的settings模块中,有一个 MIDDLEWARE_CLASSES 变量,其中每一个元素就是一个中间件。每一个中间件都有具体的功能

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', ]

三、中间件执行顺序

-process_request,从上往下执行
        如果retrun HttpResponse的对象,直接返回了
        如果retrun None ,继续往下走
-process_response,从下往上执行
        必须要retrun Httpresponse的对象

四、自定义中间件

1、导包

from django.utils.deprecation import MiddlewareMixin

2、定义类,继承MiddlewareMixin

在app01中创建一个py文件——mymiddelware

class Md1(MiddlewareMixin):

    def process_request(self,request): print("Md1请求") # 返回None的时候,继续往下走 # 返回HttpRspons对象,直接返回,走自己的process_response def process_response(self,request,response): print("Md1返回") return response class Md2(MiddlewareMixin): def process_request(self,request): print("Md2请求") def process_response(self,request,response): print("Md2返回") return response

3、在视图函数中定义一个函数

def index(request):
    print("view函数...") return HttpResponse("OK")

4、在settings的MIDDLEWARE中注册自定义的中间件

MIDDLEWARE = [
                'app01.mymiddelware.MyMiddleware1',
                'app01.mymiddelware.MyMiddleware2',
                ]

结果为

Md1请求
Md2请求
view函数...
Md2返回
Md1返回

五、中间件的方法

1、process_request

请求来的时候,会走该方法

def process_request(self,request):

2、process_response

响应回去的时候,会走该方法

 def process_response(self,request,response):

3、process_view

它应该返回None或一个HttpResponse对象。

扫描二维码关注公众号,回复: 6036359 查看本文章

如果返回None,Django将继续处理这个请求,执行任何其他中间件的process_view方法,然后在执行相应的视图。

如果它返回一个HttpResponse对象,Django不会调用适当的视图函数。 它将执行中间件的process_response方法并将应用到该HttpResponse并返回结果

def process_view(self, request, view_func, view_args, view_kwargs):
# request是HttpRequest对象。 # view_func是Django即将使用的视图函数。 (它是实际的函数对象,而不是函数的名称作为字符串。) # view_args是将传递给视图的位置参数的列表. # view_kwargs是将传递给视图的关键字参数的字典。 view_args和view_kwargs都不包含第一个视图参数(request)。

4、process_exception

这个方法只有在视图函数中出现异常了才执行

5、process_template_response

该方法对视图函数返回值有要求,必须是一个含有render方法类的对象,才会执行此方法

六、CSRF——跨站请求伪造

1、什么是CSRF攻击

攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的

2、CSRF攻击原理

要完成一次CSRF攻击,受害者必须依次完成两个步骤:

  1.登录受信任网站A,并在本地生成Cookie。

  2.在不登出A的情况下,访问危险网站B。

3、CSRF攻击防范

1、通过refer
2、加一个随机字符串校验(加载请求的路径里,加载请求体中)
3、在请求头中加字符串校验

4、CSRF在Django中的应用

(1)在form表单中应用

<form action="" method="post"> {% csrf_token %} <p>用户名:<input type="text" name="name"></p> <p>密码:<input type="text" name="password"></p> <p><input type="submit"></p> </form>

(2)在Ajax中应用

  • 放在data中
<!DOCTYPE html>
<html lang="en"> <head> <meta charset="UTF-8"> <script src="/static/jquery-3.3.1.js"></script> <title>Title</title> </head> <body> <form action="" method="post"> {% csrf_token %} <p>用户名:<input type="text" name="name"></p> <p>密码:<input type="text" name="password" id="pwd"></p> <p><input type="submit"></p> </form> <button class="btn">点我</button> </body> <script> $(".btn").click(function () { $.ajax({ url: '', type: 'post', data: { 'name': $('[name="name"]').val(), 'password': $("#pwd").val(), // 'csrfmiddlewaretoken': $('[name="csrfmiddlewaretoken"]').val() }, success: function (data) { console.log(data) } }) }) </script> </html>
  • 放在cookie中

获取cookie:document.cookie

是一个字符串,可以自己用js切割,也可以用jquery的插件

获取cookie:$.cookie('csrftoken')

设置cookie:$.cookie('key','value')

<!DOCTYPE html>
<html lang="en"> <head> <meta charset="UTF-8"> <script src="/static/jquery-3.3.1.js"></script> <script src="/static/jquery.cookie.js"></script> <title>Title</title> </head> <body> <form action="" method="post"> {% csrf_token %} <p>用户名:<input type="text" name="name"></p> <p>密码:<input type="text" name="password" id="pwd"></p> <p><input type="submit"></p> </form> <button class="btn">点我</button> </body> <script> $(".btn").click(function () { var token=$.cookie('csrftoken') //var token='{{ csrf_token }}' $.ajax({ url: '', headers:{'X-CSRFToken':token}, type: 'post', data: { 'name': $('[name="name"]').val(), 'password': $("#pwd").val(), }, success: function (data) { console.log(data) } }) }) </script> </html>

5、CSRF禁用

(1)全局禁用

全站禁用:注释掉settings中MIDDLEWARE的中间件 'django.middleware.csrf.CsrfViewMiddleware',

(2)局部禁用

  • 在FBV中,直接加载fbv上就行了
from django.views.decorators.csrf import csrf_exempt,csrf_protect
# 不再检测,局部禁用(前提是全局使用)
# @csrf_exempt
@csrf_exempt def csrf_disable(request): print(request.POST) return HttpResponse('ok') # 检测,局部使用(前提是全局禁用) # @csrf_protect def csrf_disable(request): print(request.POST) return HttpResponse('ok')
  • 在CBV中,只能加在dispatch方法或者类上面
# CBV中使用
from django.views import View
from django.views.decorators.csrf import csrf_exempt,csrf_protect from django.utils.decorators import method_decorator # CBV的csrf装饰器,只能加载类上(指定方法为dispatch)和dispatch方法上(django的bug) # 给get方法使用csrf_token检测 @method_decorator(csrf_exempt,name='dispatch') class Foo(View): def get(self,request): pass def post(self,request): pass # @method_decorator(csrf_protect) def dispatch(self, request, *args, **kwargs): ret=super().dispatch(request, *args, **kwargs) return ret
博客内容仅供参考,部分参考他人优秀博文,仅供学习使用

中间件

一、什么是中间件

中间件是介于request与response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出

二、中间件的作用

如果你想修改请求,例如被传送到view中的HttpRequest对象。 或者你想修改view返回的HttpResponse对象,这些都可以通过中间件来实现。

可能你还想在view执行之前做一些操作,这种情况就可以用 middleware来实现。

Django默认的中间件:(在django项目的settings模块中,有一个 MIDDLEWARE_CLASSES 变量,其中每一个元素就是一个中间件。每一个中间件都有具体的功能

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', ]

三、中间件执行顺序

-process_request,从上往下执行
        如果retrun HttpResponse的对象,直接返回了
        如果retrun None ,继续往下走
-process_response,从下往上执行
        必须要retrun Httpresponse的对象

四、自定义中间件

1、导包

from django.utils.deprecation import MiddlewareMixin

2、定义类,继承MiddlewareMixin

在app01中创建一个py文件——mymiddelware

class Md1(MiddlewareMixin):

    def process_request(self,request): print("Md1请求") # 返回None的时候,继续往下走 # 返回HttpRspons对象,直接返回,走自己的process_response def process_response(self,request,response): print("Md1返回") return response class Md2(MiddlewareMixin): def process_request(self,request): print("Md2请求") def process_response(self,request,response): print("Md2返回") return response

3、在视图函数中定义一个函数

def index(request):
    print("view函数...") return HttpResponse("OK")

4、在settings的MIDDLEWARE中注册自定义的中间件

MIDDLEWARE = [
                'app01.mymiddelware.MyMiddleware1',
                'app01.mymiddelware.MyMiddleware2',
                ]

结果为

Md1请求
Md2请求
view函数...
Md2返回
Md1返回

五、中间件的方法

1、process_request

请求来的时候,会走该方法

def process_request(self,request):

2、process_response

响应回去的时候,会走该方法

 def process_response(self,request,response):

3、process_view

它应该返回None或一个HttpResponse对象。

如果返回None,Django将继续处理这个请求,执行任何其他中间件的process_view方法,然后在执行相应的视图。

如果它返回一个HttpResponse对象,Django不会调用适当的视图函数。 它将执行中间件的process_response方法并将应用到该HttpResponse并返回结果

def process_view(self, request, view_func, view_args, view_kwargs):
# request是HttpRequest对象。 # view_func是Django即将使用的视图函数。 (它是实际的函数对象,而不是函数的名称作为字符串。) # view_args是将传递给视图的位置参数的列表. # view_kwargs是将传递给视图的关键字参数的字典。 view_args和view_kwargs都不包含第一个视图参数(request)。

4、process_exception

这个方法只有在视图函数中出现异常了才执行

5、process_template_response

该方法对视图函数返回值有要求,必须是一个含有render方法类的对象,才会执行此方法

六、CSRF——跨站请求伪造

1、什么是CSRF攻击

攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的

2、CSRF攻击原理

要完成一次CSRF攻击,受害者必须依次完成两个步骤:

  1.登录受信任网站A,并在本地生成Cookie。

  2.在不登出A的情况下,访问危险网站B。

3、CSRF攻击防范

1、通过refer
2、加一个随机字符串校验(加载请求的路径里,加载请求体中)
3、在请求头中加字符串校验

4、CSRF在Django中的应用

(1)在form表单中应用

<form action="" method="post"> {% csrf_token %} <p>用户名:<input type="text" name="name"></p> <p>密码:<input type="text" name="password"></p> <p><input type="submit"></p> </form>

(2)在Ajax中应用

  • 放在data中
<!DOCTYPE html>
<html lang="en"> <head> <meta charset="UTF-8"> <script src="/static/jquery-3.3.1.js"></script> <title>Title</title> </head> <body> <form action="" method="post"> {% csrf_token %} <p>用户名:<input type="text" name="name"></p> <p>密码:<input type="text" name="password" id="pwd"></p> <p><input type="submit"></p> </form> <button class="btn">点我</button> </body> <script> $(".btn").click(function () { $.ajax({ url: '', type: 'post', data: { 'name': $('[name="name"]').val(), 'password': $("#pwd").val(), // 'csrfmiddlewaretoken': $('[name="csrfmiddlewaretoken"]').val() }, success: function (data) { console.log(data) } }) }) </script> </html>
  • 放在cookie中

获取cookie:document.cookie

是一个字符串,可以自己用js切割,也可以用jquery的插件

获取cookie:$.cookie('csrftoken')

设置cookie:$.cookie('key','value')

<!DOCTYPE html>
<html lang="en"> <head> <meta charset="UTF-8"> <script src="/static/jquery-3.3.1.js"></script> <script src="/static/jquery.cookie.js"></script> <title>Title</title> </head> <body> <form action="" method="post"> {% csrf_token %} <p>用户名:<input type="text" name="name"></p> <p>密码:<input type="text" name="password" id="pwd"></p> <p><input type="submit"></p> </form> <button class="btn">点我</button> </body> <script> $(".btn").click(function () { var token=$.cookie('csrftoken') //var token='{{ csrf_token }}' $.ajax({ url: '', headers:{'X-CSRFToken':token}, type: 'post', data: { 'name': $('[name="name"]').val(), 'password': $("#pwd").val(), }, success: function (data) { console.log(data) } }) }) </script> </html>

5、CSRF禁用

(1)全局禁用

全站禁用:注释掉settings中MIDDLEWARE的中间件 'django.middleware.csrf.CsrfViewMiddleware',

(2)局部禁用

  • 在FBV中,直接加载fbv上就行了
from django.views.decorators.csrf import csrf_exempt,csrf_protect
# 不再检测,局部禁用(前提是全局使用)
# @csrf_exempt
@csrf_exempt def csrf_disable(request): print(request.POST) return HttpResponse('ok') # 检测,局部使用(前提是全局禁用) # @csrf_protect def csrf_disable(request): print(request.POST) return HttpResponse('ok')
  • 在CBV中,只能加在dispatch方法或者类上面
# CBV中使用
from django.views import View
from django.views.decorators.csrf import csrf_exempt,csrf_protect from django.utils.decorators import method_decorator # CBV的csrf装饰器,只能加载类上(指定方法为dispatch)和dispatch方法上(django的bug) # 给get方法使用csrf_token检测 @method_decorator(csrf_exempt,name='dispatch') class Foo(View): def get(self,request): pass def post(self,request): pass # @method_decorator(csrf_protect) def dispatch(self, request, *args, **kwargs): ret=super().dispatch(request, *args, **kwargs) return ret

猜你喜欢

转载自www.cnblogs.com/zhuzhiwei-2019/p/10779178.html
今日推荐
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
GCC 14.1 发布
面壁智能发布 Eurux-8x22B 开源大模型 —— 堪称「理科状元」
开源日报 | 谷歌扶持鸿蒙上位;开源Rabbit R1;Docker加持的安卓手机;微软的焦虑和野心;海尔电器把开放平台关了
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
周排行
Java自定义时间格式
同步整形电路
在开发中最最最常用的字符串的属性大集合
Linux 查看端口占用并杀掉
Java基础四:ArrayList
多线程之死锁就是这么简单
mysql 基础命令集
awk 命令详解
Centos6.3编译安装nginx+php步骤
OCR (Optical Character Recognition,光学字符识别)
每日归档
更多
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022