Django中間件以及csrf

時間  2020-05-26
標籤 django 中間件 以及 csrf 欄目 Python 简体版
原文   原文鏈接

Django中間件

Django中間件就是用來處理Django請求和響應的框架級別的鉤子函數,每一箇中間件組件都負責作一些特定的功能。前端

<img src="https://img2018.cnblogs.com/blog/1609091/201909/1609091-20190925083326754-46749299.png" style="zoom:67%;" />python

Django中間件默認有七個web

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

上面的中間件條目能夠寫成如下形式ajax

好比第一條等價於:數據庫

from django.middleware.security import SecurityMiddleware

Django中間件在請求和響應的階段都要依次執行django

<img src="https://img2018.cnblogs.com/blog/1609091/201909/1609091-20190925203137980-1664323943.bmp" style="zoom:67%;" />flask

請求來的時候 從上往下依次執行每個中間件的process_request的方法,若是中間件裏面沒有process_request方法,直接提哦啊過執行下一個中間件。後端

<img src="https://img2018.cnblogs.com/blog/1609091/201909/1609091-20190925102413923-1726730307.bmp" style="zoom:67%;" />瀏覽器

響應走的時候,會從下往上依次執行每個中間件裏面的process_response方法,沒有定義會直接跳過執行下一個cookie

<img src="https://img2018.cnblogs.com/blog/1609091/201909/1609091-20190925102623532-1866123203.bmp" style="zoom:67%;" />

當中間件裏面的 process_request方法返回了一個HttpResponse對象那就不會繼續日後執行 而是直接跳到同級別的

(--------這是和flask不一樣的 flask仍是會執行到最後一個 再返回------)

process_response防範 直接往回走

<img src="https://img2018.cnblogs.com/blog/1609091/201909/1609091-20190925103129428-1239087959.bmp" style="zoom:67%;" />

django中間件是相似因而django的保安 請求的時候須要先通過中間件才能到達django後端(urls,views,templates,models) 響應走的時候也須要通過中間件才能到達web服務網關接口

django中間件能夠用來作什麼

​ 1.網站全局的身份校驗,訪問頻率限制,權限校驗...只要是涉及到全局的校驗你均可以在中間件中完成

django的中間件是全部web框架中 作的最好的

django中間件中有五個用戶能夠自定義的方法

須要咱們掌握的方法有

​ 1.process_request()方法 ​ 規律 ​ a.請求來的時候 會通過每一箇中間件裏面的process_request方法(從上往下) ​ b.若是方法裏面直接返回了HttpResponse對象 那麼會直接返回 再也不往下執行 ​ 基於該特色就能夠作訪問頻率限制,身份校驗,權限校驗 ​ 2.process_response()方法 ​ 規律 ​ a.必須將response形參返回 由於這個形參指代的就是要返回給前端的數據 ​ b.響應走的時候 會依次通過每個中間件裏面的process_response方法(從下往上)

須要瞭解的方法

​ 3.process_view() ​ a.在路由匹配成功執行視圖函數以前 觸發

​ 4.process_exception() ​ a.當你的視圖函數報錯時 就會自動執行

​ 5.process_template_response() ​ a.當你返回的HttpResponse對象中必須包含render屬性纔會觸發

def index(request):
		print('我是index視圖函數')
def render():
		return HttpResponse('什麼鬼玩意')
		obj = HttpResponse('index')
		obj.render = render
		return obj

​ 總結:你在書寫中間件的時候 只要形參中有repsonse 你就順手將其返回 這個reponse就是要給前端的消息( 若是你不返回,會報錯 )

<img src="https://img2018.cnblogs.com/blog/1609091/201909/1609091-20190925232544613-2046356032.png" style="zoom:50%;" />

<img src="https://img2018.cnblogs.com/blog/1609091/201909/1609091-20190925232654244-1167430505.png" style="zoom:50%;" />

如何自定義咱們本身的中間件,研究這上面五個方法都有哪些特色 1.若是你想讓你寫的中間件生效,就必需要先繼承MiddlewareMixin 2.在註冊自定義中間件的時候,必定要確保路徑不要寫錯

csrf跨站請求僞造 釣魚網站 經過製做一個跟正兒八經的網站如出一轍的頁面,騙取用戶輸入信息 轉帳交易 從而作手腳 轉帳交易的請求確確實實是發給了中國銀行,帳戶的錢也是確確實實少了 惟一不同的地方在於收款人帳戶不對 內部原理 在讓用戶輸入對方帳戶的那個input上面作手腳 給這個input不設置name屬性,在內部隱藏一個實現寫好的name和value屬性的input框 這個value的值 就是釣魚網站受益人帳號 防止釣魚網站的思路 網站會給返回給用戶的form表單頁面 偷偷塞一個隨機字符串 請求到來的時候 會先比對隨機字符串是否一致 若是不一致 直接拒絕(403)

該隨機字符串有如下特色 1.同一個瀏覽器每一次訪問都不同 2.不一樣瀏覽器絕對不會重複

1.form表單發送post請求的時候 須要你作得僅僅書寫一句話

{% csrf_token %}

2.ajax發送post請求 如何避免csrf校驗

a.如今頁面上寫{% csrf_token %},利用標籤查找  獲取到該input鍵值信息		{'username':'jason','csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()}
$('[name=csrfmiddlewaretoken]').val()
			
b.直接書寫
'{{ csrf_token }}'
{'username':'jason','csrfmiddlewaretoken':'{{ csrf_token }}'}
{{ csrf_token }}
		
c.你能夠將該獲取隨機鍵值對的方法 寫到一個js文件中,以後只須要導入該文件便可
			新建一個js文件 存放如下代碼 以後導入便可 
			function getCookie(name) {
				var cookieValue = null;
				if (document.cookie && document.cookie !== '') {
					var cookies = document.cookie.split(';');
					for (var i = 0; i < cookies.length; i++) {
						var cookie = jQuery.trim(cookies[i]);
						// Does this cookie string begin with the name we want?
						if (cookie.substring(0, name.length + 1) === (name + '=')) {
							cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
							break;
						}
					}
				}
				return cookieValue;
			}
			var csrftoken = getCookie('csrftoken');
			
			function csrfSafeMethod(method) {
			  // these HTTP methods do not require CSRF protection
			  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
			}

			$.ajaxSetup({
			  beforeSend: function (xhr, settings) {
				if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
				  xhr.setRequestHeader("X-CSRFToken", csrftoken);
				}
			  }
			});
1.當你網站全局都須要校驗csrf的時候 有幾個不須要校驗該如何處理
	2.當你網站全局不校驗csrf的時候 有幾個須要校驗又該如何處理
		from django.utils.decorators import method_decorator	
		from django.views.decorators.csrf import csrf_exempt,csrf_protect
		# 這兩個裝飾器在給CBV裝飾的時候 有必定的區別
		若是是csrf_protect 那麼有三種方式
			# 第一種方式
			# @method_decorator(csrf_protect,name='post')  # 有效的
			class MyView(View):
				# 第三種方式
				# @method_decorator(csrf_protect)
				def dispatch(self, request, *args, **kwargs):
					res = super().dispatch(request, *args, **kwargs)
					return res

				def get(self,request):
					return HttpResponse('get')
				# 第二種方式
				# @method_decorator(csrf_protect)  # 有效的
				def post(self,request):
					return HttpResponse('post')
				
		若是是csrf_exempt 只有兩種(只能給dispatch裝)   特例
		@method_decorator(csrf_exempt,name='dispatch')  # 第二種能夠不校驗的方式
		class MyView(View):
			# @method_decorator(csrf_exempt)  # 第一種能夠不校驗的方式
			def dispatch(self, request, *args, **kwargs):
				res = super().dispatch(request, *args, **kwargs)
				return res

			def get(self,request):
				return HttpResponse('get')

			def post(self,request):
				return HttpResponse('post')

總結: 裝飾器中只有csrf_exempt是特例,其餘的裝飾器在給CBV裝飾的時候,均可以有三種方式

auth模塊

若是你想用auth模塊 那麼你就用全套

跟用戶相關的功能模塊 用戶的註冊 登錄 驗證 修改密碼 ...

執行數據庫遷移命令以後 會生成不少表 其中的auth_user是一張用戶相關的表格 添加數據 createsuperuser 建立超級用戶 這個超級用戶就能夠擁有登錄django admin後臺管理的權限

auth模塊的功能
	查詢用戶
		from django.contrib import auth
		user_obj = auth.authenticate(username=username,password=password)  
    # 必需要用 由於數據庫中的密碼字段是密文的 而你獲取的用戶輸入的是明文
	記錄用戶狀態
		auth.login(request,user_obj)  
    # 將用戶狀態記錄到session中
	判斷用戶是否登陸
		print(request.user.is_authenticated)  
    # 判斷用戶是否登陸  若是是大家用戶會返回False
	用戶登陸以後 獲取用戶對象
		print(request.user)  
    # 若是沒有執行auth.login那麼拿到的是匿名用戶
	校驗用戶是否登陸
		from django.contrib.auth.decorators import  login_required
		@login_required(login_url='/xxx/')  # 局部配置
		def index(request):
			pass
		
		# 全局配置  settings文件中
		LOGIN_URL = '/xxx/'
	驗證密碼是否正確
		request.user.check_password(old_password)
	修改密碼	
		request.user.set_password(new_password)
		request.user.save()  # 修改密碼的時候 必定要save保存 不然沒法生效
	退出登錄
		auth.logout(request)  # request.session.flush()
	註冊用戶
		# User.objects.create(username =username,password=password)  
    # 建立用戶名的時候 千萬不要再使用create 了
		# User.objects.create_user(username =username,password=password)  # 建立普通用戶
			User.objects.create_superuser(username =username,password=password,email='123@qq.com')  # 建立超級用戶  郵箱必填
自定義auth_user表
		from django.contrib.auth.models import AbstractUser
		# Create your models here.
		# 第一種 使用一對一關係  不考慮
		# 第二種方式   使用類的繼承
		class Userinfo(AbstractUser):
		# 千萬不要跟原來表中的字段重複 只能創新
		phone = models.BigIntegerField()
		avatar = models.CharField(max_length=32)
		
		# 必定要在配置文件中 告訴django
		# 告訴django  orm再也不使用auth默認的表  而是使用你自定義的表
		AUTH_USER_MODEL = 'app01.Userinfo'  # '應用名.類名'

​ 1.執行數據庫遷移命令 ​ 全部的auth模塊功能 所有都基於你建立的表 ​ 而再也不使用auth_user

settings功能插拔式源碼
		參考django 配置文件中的 中間件等功能模塊

鉤子函數在不少語言裏都有

只要你按照他的要求寫 他就有對應的功能

第三種 當你不使用 模板語法的時候 寫先後端分離的時候 要用到

那個js 文件 拷貝下來 之後要用到

第二種也要會

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程