Django中间件以及csrf
Django中间件
Django中间件就是用来处理Django请求和响应的框架级别的钩子函数,每一个中间件组件都负责作一些特定的功能。前端
<img src="https://img2018.cnblogs.com/blog/1609091/201909/1609091-20190925083326754-46749299.png" style="zoom:67%;" />python
Django中间件默认有七个web
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
上面的中间件条目能够写成如下形式ajax
好比第一条等价于:数据库
from django.middleware.security import SecurityMiddleware
Django中间件在请求和响应的阶段都要依次执行django
<img src="https://img2018.cnblogs.com/blog/1609091/201909/1609091-20190925203137980-1664323943.bmp" style="zoom:67%;" />flask
请求来的时候 从上往下依次执行每个中间件的process_request的方法,若是中间件里面没有process_request方法,直接提哦啊过执行下一个中间件。后端
<img src="https://img2018.cnblogs.com/blog/1609091/201909/1609091-20190925102413923-1726730307.bmp" style="zoom:67%;" />浏览器
响应走的时候,会从下往上依次执行每个中间件里面的process_response方法,没有定义会直接跳过执行下一个cookie
<img src="https://img2018.cnblogs.com/blog/1609091/201909/1609091-20190925102623532-1866123203.bmp" style="zoom:67%;" />
当中间件里面的 process_request方法返回了一个HttpResponse对象那就不会继续日后执行 而是直接跳到同级别的
(--------这是和flask不一样的 flask仍是会执行到最后一个 再返回------)
process_response防范 直接往回走
<img src="https://img2018.cnblogs.com/blog/1609091/201909/1609091-20190925103129428-1239087959.bmp" style="zoom:67%;" />
django中间件是相似因而django的保安 请求的时候须要先通过中间件才能到达django后端(urls,views,templates,models) 响应走的时候也须要通过中间件才能到达web服务网关接口
django中间件能够用来作什么
1.网站全局的身份校验,访问频率限制,权限校验...只要是涉及到全局的校验你均可以在中间件中完成
django的中间件是全部web框架中 作的最好的
django中间件中有五个用户能够自定义的方法
须要咱们掌握的方法有
1.process_request()方法 规律 a.请求来的时候 会通过每一个中间件里面的process_request方法(从上往下) b.若是方法里面直接返回了HttpResponse对象 那么会直接返回 再也不往下执行 基于该特色就能够作访问频率限制,身份校验,权限校验 2.process_response()方法 规律 a.必须将response形参返回 由于这个形参指代的就是要返回给前端的数据 b.响应走的时候 会依次通过每个中间件里面的process_response方法(从下往上)
须要了解的方法
3.process_view() a.在路由匹配成功执行视图函数以前 触发
4.process_exception() a.当你的视图函数报错时 就会自动执行
5.process_template_response() a.当你返回的HttpResponse对象中必须包含render属性才会触发
def index(request):
print('我是index视图函数')
def render():
return HttpResponse('什么鬼玩意')
obj = HttpResponse('index')
obj.render = render
return obj
总结:你在书写中间件的时候 只要形参中有repsonse 你就顺手将其返回 这个reponse就是要给前端的消息( 若是你不返回,会报错 )
<img src="https://img2018.cnblogs.com/blog/1609091/201909/1609091-20190925232544613-2046356032.png" style="zoom:50%;" />
<img src="https://img2018.cnblogs.com/blog/1609091/201909/1609091-20190925232654244-1167430505.png" style="zoom:50%;" />
如何自定义咱们本身的中间件,研究这上面五个方法都有哪些特色 1.若是你想让你写的中间件生效,就必需要先继承MiddlewareMixin 2.在注册自定义中间件的时候,必定要确保路径不要写错
csrf跨站请求伪造 钓鱼网站 经过制做一个跟正儿八经的网站如出一辙的页面,骗取用户输入信息 转帐交易 从而作手脚 转帐交易的请求确确实实是发给了中国银行,帐户的钱也是确确实实少了 惟一不同的地方在于收款人帐户不对 内部原理 在让用户输入对方帐户的那个input上面作手脚 给这个input不设置name属性,在内部隐藏一个实现写好的name和value属性的input框 这个value的值 就是钓鱼网站受益人帐号 防止钓鱼网站的思路 网站会给返回给用户的form表单页面 偷偷塞一个随机字符串 请求到来的时候 会先比对随机字符串是否一致 若是不一致 直接拒绝(403)
该随机字符串有如下特色 1.同一个浏览器每一次访问都不同 2.不一样浏览器绝对不会重复
1.form表单发送post请求的时候 须要你作得仅仅书写一句话
{% csrf_token %}
2.ajax发送post请求 如何避免csrf校验
a.如今页面上写{% csrf_token %},利用标签查找 获取到该input键值信息 {'username':'jason','csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()}
$('[name=csrfmiddlewaretoken]').val()
b.直接书写
'{{ csrf_token }}'
{'username':'jason','csrfmiddlewaretoken':'{{ csrf_token }}'}
{{ csrf_token }}
c.你能够将该获取随机键值对的方法 写到一个js文件中,以后只须要导入该文件便可
新建一个js文件 存放如下代码 以后导入便可
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie !== '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) === (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
var csrftoken = getCookie('csrftoken');
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
beforeSend: function (xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});
1.当你网站全局都须要校验csrf的时候 有几个不须要校验该如何处理
2.当你网站全局不校验csrf的时候 有几个须要校验又该如何处理
from django.utils.decorators import method_decorator
from django.views.decorators.csrf import csrf_exempt,csrf_protect
# 这两个装饰器在给CBV装饰的时候 有必定的区别
若是是csrf_protect 那么有三种方式
# 第一种方式
# @method_decorator(csrf_protect,name='post') # 有效的
class MyView(View):
# 第三种方式
# @method_decorator(csrf_protect)
def dispatch(self, request, *args, **kwargs):
res = super().dispatch(request, *args, **kwargs)
return res
def get(self,request):
return HttpResponse('get')
# 第二种方式
# @method_decorator(csrf_protect) # 有效的
def post(self,request):
return HttpResponse('post')
若是是csrf_exempt 只有两种(只能给dispatch装) 特例
@method_decorator(csrf_exempt,name='dispatch') # 第二种能够不校验的方式
class MyView(View):
# @method_decorator(csrf_exempt) # 第一种能够不校验的方式
def dispatch(self, request, *args, **kwargs):
res = super().dispatch(request, *args, **kwargs)
return res
def get(self,request):
return HttpResponse('get')
def post(self,request):
return HttpResponse('post')
总结: 装饰器中只有csrf_exempt是特例,其余的装饰器在给CBV装饰的时候,均可以有三种方式
auth模块
若是你想用auth模块 那么你就用全套
跟用户相关的功能模块 用户的注册 登录 验证 修改密码 ...
执行数据库迁移命令以后 会生成不少表 其中的auth_user是一张用户相关的表格 添加数据 createsuperuser 建立超级用户 这个超级用户就能够拥有登录django admin后台管理的权限
auth模块的功能
查询用户
from django.contrib import auth
user_obj = auth.authenticate(username=username,password=password)
# 必需要用 由于数据库中的密码字段是密文的 而你获取的用户输入的是明文
记录用户状态
auth.login(request,user_obj)
# 将用户状态记录到session中
判断用户是否登陆
print(request.user.is_authenticated)
# 判断用户是否登陆 若是是大家用户会返回False
用户登陆以后 获取用户对象
print(request.user)
# 若是没有执行auth.login那么拿到的是匿名用户
校验用户是否登陆
from django.contrib.auth.decorators import login_required
@login_required(login_url='/xxx/') # 局部配置
def index(request):
pass
# 全局配置 settings文件中
LOGIN_URL = '/xxx/'
验证密码是否正确
request.user.check_password(old_password)
修改密码
request.user.set_password(new_password)
request.user.save() # 修改密码的时候 必定要save保存 不然没法生效
退出登录
auth.logout(request) # request.session.flush()
注册用户
# User.objects.create(username =username,password=password)
# 建立用户名的时候 千万不要再使用create 了
# User.objects.create_user(username =username,password=password) # 建立普通用户
User.objects.create_superuser(username =username,password=password,email='123@qq.com') # 建立超级用户 邮箱必填
自定义auth_user表 from django.contrib.auth.models import AbstractUser # Create your models here. # 第一种 使用一对一关系 不考虑 # 第二种方式 使用类的继承 class Userinfo(AbstractUser): # 千万不要跟原来表中的字段重复 只能创新 phone = models.BigIntegerField() avatar = models.CharField(max_length=32) # 必定要在配置文件中 告诉django # 告诉django orm再也不使用auth默认的表 而是使用你自定义的表 AUTH_USER_MODEL = 'app01.Userinfo' # '应用名.类名'
1.执行数据库迁移命令 全部的auth模块功能 所有都基于你建立的表 而再也不使用auth_user
settings功能插拔式源码 参考django 配置文件中的 中间件等功能模块
钩子函数在不少语言里都有
只要你按照他的要求写 他就有对应的功能
第三种 当你不使用 模板语法的时候 写先后端分离的时候 要用到
那个js 文件 拷贝下来 之后要用到
第二种也要会
- 1. Django 中间件 csrf
- 2. Django 中CSRF中间件 'django.middleware.csrf.CsrfViewMiddleware',
- 3. Django中间件与csrf
- 4. Django(六)Session、CSRF、中间件
- 5. Django :中间 件与csrf
- 6. csrf中间件
- 7. Django-中间件csrf-form完成csrf认证-ajax完成csrf认证
- 8. Django中的CSRF
- 9. Django-中间件 Django的中间件
- 10. Web框架之Django重要组件(Django中间件、csrf跨站请求伪造)
- 更多相关文章...
- • MySQL的版本以及版本号 - MySQL教程
- • SQL 撤销索引、撤销表以及撤销数据库 - SQL 教程
- • SpringBoot中properties文件不能自动提示解决方法
- • Flink 数据传输及反压详解
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Window下Ribbit MQ安装
- 2. Linux下Redis安装及集群搭建
- 3. shiny搭建网站填坑战略
- 4. Mysql8.0.22安装与配置详细教程
- 5. Hadoop安装及配置
- 6. Python爬虫初学笔记
- 7. 部署LVS-Keepalived高可用集群
- 8. keepalived+mysql高可用集群
- 9. jenkins 公钥配置
- 10. HA实用详解