中间件:
概念: Django中间件就类似于 django的保安
请求 的时候需要先经过中间件才能到达django后端(urls,vIEws)
响应 走的时候也需要经过中间件才能到达web服务网关接口
django默认的七个中间件
MIDDLEWARE = [ ‘django.mIDdleware.security.SecurityMIDdleware‘,‘django.contrib.sessions.mIDdleware.SessionMIDdleware‘,‘django.mIDdleware.common.CommonMIDdleware‘,‘django.mIDdleware.csrf.CsrfVIEwMIDdleware‘,‘django.contrib.auth.mIDdleware.AuthenticationMIDdleware‘,‘django.contrib.messages.mIDdleware.MessageMIDdleware‘,‘django.mIDdleware.clickjacking.XFrameOptionsMIDdleware‘,]
问:django中间件都可以用来干什么? ***
1. 网站全局的身份校验,访问频率限制,权限校验.....
2.django的中间件是web框架中 做的最好的
Django中间件中有五个用户可以自定义的方法process_response process_request process_vIEw process_exception process_templates
如何自定义?①首先需要在 app 同级目录下 创建你自己的 mIDdleware 在里面创建你的py文件
②导入模块 from django.utils.deprecation import MIDdlewareMixin
③定义自己的类 需要继承 MIDdleware 重写 上面五种方法
④在settings配置文件中的MIDDLEWARE 字符串点的方式 添加 例如: ‘文件夹.py文件.类名‘
process_request(request) 方法
规律: 1.请求来的时候 会经过每一个中间件里面的 process_request方法(从上往下)
2.如果方法里面直接返回了httpResponse对象 那么会不在往下执行 放回同级 执行process_response方法 往回走
3.方法 必须要传入request参数 也就是说 基于该特点 就可以做访问频率 身份校验,权限的校验
process_response(request,response) 方法
规律:1.必须将参数 reponse返回 因为这个参数就是 后端返回给前端的数据
2.响应走的时候 会依次经过每一个中间件里面的 process_response方法(从下往上)
了解方法:
process_vIEw(request,vIEw_func,vIEw_args,vIEw_kwargs)
在路由匹配成功后 执行函数触发之前触发
vIEw_func 就是 url匹配对应的 视图函数 vIEw_args 和 vIEw_kwargs 都是参数
process_exception( request,exception)
当你的视图函数报错的时候回自动触发
process_template_response(request,response)
当你放回的httpResponse对象中必须包含 render 属性 才会触发
总结: 书写中间件的时候 只要形参中有response 就把它返回 他是 前端需要的数据
csrf跨站请求伪造引入:钓鱼网站: 通过制作一个跟正儿八经的网站一模一样的界面 骗取用户输入信息 修改数据去正儿八经的网站提交
内部原理: 在让用户输入给对方转账的那个input框上做手脚 不给 这个input 设置name 和属性 在内部隐藏一个写好的name 和 value属性input框 这个value就是 钓鱼网站受益人的账号 form 表单数据提交 改为正儿八经的
防止钓鱼网站的思路
网站会给返回给用户的form表单页面 偷偷塞一个随机字符串
请求到来的时候 会先比对随机字符串是否一致 如果不一致 直接拒绝(403)
该随机字符串有以下特点
1.同一个浏览器每一次访问都不一样
2.不同浏览器绝对不会重复
-------------------------------------------------------------------------------------------------------------------------------------------
1.form表单发送post请求的时候 需要你仅仅做的就是写一句话 {{% csrf_token %}}
这样我们就可以吧 中间件的有个注释打开了 他这个就是来校验你有没有 一个 csrfmIDdlewaretoken的东西 没有直接给你403
@H_419_321@
2.aJsx发送post请求的时候 如和避免csrf校验
1.先在页面上写{% csrf_token %}, 利用标签name 属性查找器 查找 获取到该input键值信息
2.直接书写‘{{ csrf_token }}‘
3.将获取随机键值对的方法写到一个Js文件中 之后只需要导入文件即可
在static文件中创建 Js文件 和 py文件 把下面代码写入 之后导入就行
function getcookie(name) { var cookieValue = null; if (document.cookie && document.cookie !== ‘‘) { var cookies = document.cookie.split(‘;‘); for (var i = 0; i < cookies.length; i++) { var cookie = jquery.trim(cookies[i]); // Does this cookie string begin with the name we want? if (cookie.substring(0,name.length + 1) === (name + ‘=‘)) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue;}var csrftoken = getcookie(‘csrftoken‘);function csrfSafeMethod(method) { // these http methods do not require CSRF protection return (/^(GET|head|OPTIONS|TRACE)$/.test(method));}$.AJAXSetup({ beforeSend: function (xhr,settings) { if (!csrfSafeMethod(settings.type) && !this.crossDomain) { xhr.setRequestheader("X-CSrftoken",csrftoken); } }});
之后 该怎么传就怎么传就行了
1.当你网站全局都需要校验csrf的时候 有几个不需要校验该如何处理?
2.当你网站全局不校验csrf的时候 有几个需要校验又该如何处理?
from django.vIEws.decorators.csrf import csrf_exempt,csrf_protect
csrf_exempt 不校验
csrf_protect 只校验
cbv装饰
from django.utils.decorators import method_decorator
这两个装饰器在给CBV装饰的时候 有一定的区别 如果是csrf_protect 那么有三种方式 # 第一种方式 # @method_decorator(csrf_protect,name=‘post‘) # 有效的 class MyVIEw(VIEw): # 第三种方式 # @method_decorator(csrf_protect) def dispatch(self,request,*args,**kwargs): res = super().dispatch(request,**kwargs) return res def get(self,request): return httpResponse(‘get‘) # 第二种方式 # @method_decorator(csrf_protect) # 有效的 def post(self,request): return httpResponse(‘post‘)
如果是csrf_exempt 只有两种(只能给dispatch装) 特例 @method_decorator(csrf_exempt,name=‘dispatch‘) # 第二种可以不校验的方式 class MyVIEw(VIEw): # @method_decorator(csrf_exempt) # 第一种可以不校验的方式 def dispatch(self,**kwargs): res = super().dispatch(request,**kwargs) return res def get(self,request): return httpResponse(‘get‘) def post(self,request): return httpResponse(‘post‘)
装饰器中只有csrf_exempt是特例,其他的装饰器在给CBV装饰的时候 都可以有三种方式
def login_auth(func): @wraps(func) def inner(request,**kwargs): # 从request中获取cookie # print(request.path) # print(request.get_full_path()) target_url = request.get_full_path() if request.cookieS.get(‘name‘): res = func(request,**kwargs) return res else: return redirect(‘/lg/?next=%s‘%target_url) return innercookies装饰器 auth模块
引入: (如果你想用auth模块 那么就用全套) auth模块是跟用户相关的功能模块
①执行数据库迁移命令后 会产生很多的表 其中的auth_uesr 就是一张用户相关的表格。
②添加数据 createsuperuser 创建超级用户 这个超级用户可以拥有登录django admin后台的权限
设置邮箱 用户名 和 密码 auth_user 表中就会把你的数据记录下来 且以可登录 admin
auth模块功能模块的导入
from django.contrib import auth
直接子啊视图函数使用
查询用户
user_obj = auth.authenticate(username=‘xxx‘,password=‘xxx‘)
记录用户状态
auth.login(request,user_obj)
总结
以上是内存溢出为你收集整理的☆Django☆---中间件 csrf跨站请求伪造 auth模块 settings功能插拔式源码全部内容,希望文章能够帮你解决☆Django☆---中间件 csrf跨站请求伪造 auth模块 settings功能插拔式源码所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)