CSRF

1.概述

  CSRF(Cross Site Request Forgery)跨站点伪造请求,举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。

  为了避免上面情况的出现,Django引用了CSRF防护机制;Django第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 token,并把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token,这样就能避免被 CSRF 攻击。如果POST请求中没有token随机字符串,则返回403拒绝服务

  • 在返回的 HTTP 响应的 cookie 里,django 会为你添加一个 csrftoken 字段,其值为一个自动生成的 token
  • 在所有的 POST 表单时,必须包含一个 csrfmiddlewaretoken 字段 (只需要在模板里加一个 tag, django 就会自动帮你生成,见下面)
  • 在处理 POST 请求之前,django 会验证这个请求的 cookie 里的 csrftoken 字段的值和提交的表单里的 csrfmiddlewaretoken 字段的值是否一样。如果一样,则表明这是一个合法的请求,否则,这个请求可能是来自于别人的 csrf 攻击,返回 403 Forbidden。
  • 在所有 ajax POST 请求里,添加一个 X-CSRFTOKEN header,其值为 cookie 里的 csrftoken 的值

2.启用方式

settings里面全局启用

MIDDLEWARE = [

    'django.middleware.security.SecurityMiddleware',

    'django.contrib.sessions.middleware.SessionMiddleware',

    'django.middleware.common.CommonMiddleware',

    'django.middleware.csrf.CsrfViewMiddleware',

    'django.contrib.auth.middleware.AuthenticationMiddleware',

    'django.contrib.messages.middleware.MessageMiddleware',

    'django.middleware.clickjacking.XFrameOptionsMiddleware',

]

局部使用方法

先导入

from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。

@csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

3.form表单提交POST请求

login.html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

    <form action="/login/" method="post">

        {% csrf_token %}

        <input type="text" name="user" />

        <input type="text" name="pwd" />

        <input type="checkbox" name="session" value="1"/>

        <input type="submit" value="提交" />

    </form>

</body>

</html>
from  django.shortcuts import render,HttpResponse,redirect

def login(request):

    if request.method == 'GET':

        return render(request ,'login.html')

    elif request.method == 'POST':

        user = request.POST.get('user')

        pwd = request.POST.get('pwd')

        if user == 'root' and pwd == "":

            # 生成随机字符串

            # 写到用户浏览器Cookie

            # 保存到Session中

            #  在随机字符串对应的字典中设置相关内容...

            request.session['username'] = user

            request.session['if_login'] = True  # 可不加 直接判断username也可以

            if request.POST.get('session') == '':  # 单独设置超时时间,当前session生效,不影响全局

                request.session.set_expiry(10)  # 10秒

            return redirect('/index/')

        else:

            return redirect('/login/')

def index(request):

    # 获取当前用户的随机字符串

    # 根据随机字符串获取对应信息

    if request.session.get('if_login'):

        return render(request, 'index.html')

    else:

        return redirect('/login/')

views.py

4.Ajax提交POST请求

login.html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

    <form action="/login/" method="post">

        {% csrf_token %}

        <input type="text" name="user" />

        <input type="text" name="pwd" />

        <input type="checkbox" name="session" value="1"/>

        <input type="submit" value="提交" />

        <input id='btn' type="button" value="Ajax提交" />

    </form>

    <script src="/static/jquery-1.12.4.js"></script>

    <script src="/static/jquery.cookie.js"></script>

    <script>

        $(function () {

            $('#btn').click(function () {

                $.ajax({

                    url:'/login/',

                    type:'POST',

                    data:{'user':'root','pwd':'123'},

                    headers:{'X-CSRFtoken':$.cookie('csrftoken')},

                    success:function (arg) {

                    }

                })

            })

        })

    </script>

</body>

</html>

上面html文件点击提交后,执行成功;但是往往一个程序不止一个Ajax请求,所以我们需要对每个Ajax请求都添加headers请求头,这样未免增加很多工作量;这时就需要做全局设置,不必每个都添加请求头

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

    <form action="/login/" method="post">

        {% csrf_token %}

        <input type="text" name="user" />

        <input type="text" name="pwd" />

        <input type="checkbox" name="session" value="1"/>

        <input type="submit" value="提交" />

        <input id='btn' type="button" value="Ajax提交" />

    </form>

    <script src="/static/jquery-1.12.4.js"></script>

    <script src="/static/jquery.cookie.js"></script>

    <script>

        $(function () {

{#            全局配置,所有Ajax请求都先执行下面操作#}

            $.ajaxSetup({

                beforeSend:function (xhr,settings) {

                    xhr.setRequestHeader('X-CSRFtoken',$.cookie('csrftoken'));

                }

            });

            $('#btn').click(function () {

                $.ajax({

                    url:'/login/',

                    type:'POST',

                    data:{'user':'root','pwd':'123'},

                    success:function (arg) {

                    }

                })

            })

        })

    </script>

</body>

</html>

中间件

1.概述

django 中的中间件(middleware),在django中,中间件其实就是一个类,在请求到来和结束后,django会根据自己的规则在合适的时机执行中间件中相应的方法;在django项目的settings模块中,有一个 MIDDLEWARE 变量,其中每一个元素就是一个中间件,如下:

MIDDLEWARE = [

    'django.middleware.security.SecurityMiddleware',

    'django.contrib.sessions.middleware.SessionMiddleware',

    'django.middleware.common.CommonMiddleware',

    'django.middleware.csrf.CsrfViewMiddleware',

    'django.contrib.auth.middleware.AuthenticationMiddleware',

    'django.contrib.messages.middleware.MessageMiddleware',

    'django.middleware.clickjacking.XFrameOptionsMiddleware',

]

2.中间件的五种方法

(1)process_request(self,request) 

请求来时执行,不写时直接跳过,执行下一个中间件;当有return HttpResonse时,下面中间件不再执行

(2)process_view(self, request, callback, callback_args, callback_kwargs)

先执行process_request,执行完后,再从起始执行proces_view

(3)process_template_response(self,request,response)  

如果Views中的函数返回的对象中,具有render方法,此方法执行

(4)process_exception(self, request, exception)  

异常触发执行,当views.py函数执行出错后,此方法执行;出错时,最低层的exception优先级最高,执行最近的一个,

然后执行respnse方法

(5)process_response(self, request, response)      

请求返回时执行,不写时直接跳过,执行下一个中间件;当有return HttpResonse时,会替换原数据

以上方法的返回值可以是None和HttpResonse对象,如果是None,则继续按照django定义的规则向下执行,如果是HttpResonse对象,则直接将该对象返回给用户

3.自定义中间件

Django主目录下创建middleware目录(名字任意),在目录下创建m.py文件

1.process_request、process_response的使用

(1)views.py

def test(request):

    print('测试中间件')

    return HttpResponse('ok')

(2)m.py

from django.utils.deprecation import MiddlewareMixin

from django.shortcuts import HttpResponse

class Row1(MiddlewareMixin):    #继承MiddlewareMixin类

    def process_request(self,request):

        print('第一个中间件')

        # return HttpResponse('滚')   #加return,到这里就不会继续往下走了

    def process_response(self,request,response):

        print('返回信息3')

        return response

class Row2(MiddlewareMixin):  # 继承MiddlewareMixin类

    def process_request(self, request):

        print('第二个中间件')

    def process_response(self, request, response):

        print('返回信息2')

        return response

class Row3(MiddlewareMixin):  # 继承MiddlewareMixin类

    def process_request(self, request):

        print('第三个中间件')

    def process_response(self, request, response):

        print('返回信息1')

        return response

(3)settings里面加上自定义的中间件

MIDDLEWARE = [

    'django.middleware.security.SecurityMiddleware',

    'django.contrib.sessions.middleware.SessionMiddleware',

    'django.middleware.common.CommonMiddleware',

    'django.middleware.csrf.CsrfViewMiddleware',

    'django.contrib.auth.middleware.AuthenticationMiddleware',

    'django.contrib.messages.middleware.MessageMiddleware',

    'django.middleware.clickjacking.XFrameOptionsMiddleware',

    'middleware.m.Row1',

    'middleware.m.Row2',

    'middleware.m.Row3',

]

(4)执行结果

第一个中间件

第二个中间件

第三个中间件

测试中间件

返回信息1

返回信息2

返回信息3

2.process_view

m.py

from django.utils.deprecation import MiddlewareMixin

from django.shortcuts import HttpResponse

class Row1(MiddlewareMixin):    #继承MiddlewareMixin类

    def process_request(self,request):

        print('第一个中间件')

    def process_view(self, request, view_func, view_func_args, view_func_kwargs):

        print('view11')

    def process_response(self,request,response):

        print('返回信息3')

        return response

class Row2(MiddlewareMixin):  # 继承MiddlewareMixin类

    def process_request(self, request):

        print('第二个中间件')

    def process_view(self, request, view_func, view_func_args, view_func_kwargs):

        print('view22')

    def process_response(self, request, response):

        print('返回信息2')

        return response

class Row3(MiddlewareMixin):  # 继承MiddlewareMixin类

    def process_request(self, request):

        print('第三个中间件')

    def process_view(self, request, view_func, view_func_args, view_func_kwargs):

        print('view33')

    def process_response(self, request, response):

        print('返回信息1')

        return response

执行结果:

第一个中间件

第二个中间件

第三个中间件

view11

view22

view33

测试中间件

返回信息1

返回信息2

返回信息3

7.Django CSRF 中间件的更多相关文章

  1. django—csrf中间件校验流程

    CSRF(跨站请求伪造)是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法. 这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求 ...

  2. 30.Django CSRF 中间件

    CSRF 1.概述 CSRF(Cross Site Request Forgery)跨站点伪造请求,举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用 ...

  3. django csrf 中间件

    CSRF和中间件 CSRF使用 说明csrf存在cookie中 全局使用 MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', ...

  4. Django对中间件的调用思想、csrf中间件详细介绍、Django settings源码剖析、Django的Auth模块

    目录 使用Django对中间件的调用思想完成自己的功能 功能要求 importlib模块介绍 功能的实现 csrf中间件详细介绍 跨站请求伪造 Django csrf中间件 form表单 ajax c ...

  5. Python之路-(Django(csrf,中间件,缓存,信号,Model操作,Form操作))

    csrf 中间件 缓存 信号 Model操作 Form操作 csrf: 用 django 有多久,我跟 csrf 这个概念打交道就有久了. 每次初始化一个项目时都能看到 django.middlewa ...

  6. Django的csrf中间件

    csrf中间件 ​ csrf 跨站请求伪造 ​ 补充两个装饰器: ​ from django.views.decorators.csrf import csrf_exempt,csrf_protect ...

  7. csrf 跨站请求伪造相关以及django的中间件

    django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware来完成. 1.django中常用的中间件? - proces ...

  8. python 全栈开发,Day87(ajax登录示例,CSRF跨站请求伪造,Django的中间件,自定义分页)

    一.ajax登录示例 新建项目login_ajax 修改urls.py,增加路径 from app01 import views urlpatterns = [ path('admin/', admi ...

  9. Django 中CSRF中间件 'django.middleware.csrf.CsrfViewMiddleware',

    1.Django中CSRF中间件的工作原理及form表单提交需要添加{% csrf_token %}防止出现403错误 CSRF # 表示django全局发送post请求均需要字符串验证功能:防止跨站 ...

随机推荐

  1. 将source类中的属性值赋给target类中对应的属性

    /** * 对象的属性值拷贝 * <p> * 将source对象中的属性值赋值到target对象中的属性,属性名一样,类型一样 * <p> * example: * <p ...

  2. 同步计数器 CountDownLatch

    CountDownLatch 是一个同步工具类,它允许一个或多个线程一直等待,直到其他线程的操作执行完后再执行. CountDownLatch 是通过一个计数器来实现的,计数器的初始值为线程的数量.每 ...

  3. Android SQLite数据库升级,怎么做(事物更改)

    SQLiteOpenHelper // 如果数据库文件不存在,只有onCreate()被调用(该方法在创建数据库时被调用一次) public abstract void onCreate(SQLite ...

  4. 在centos 7云服务器上搭建Apache服务器并访问到你的网站

    网站是指在互联网上根据一定的规则,用HTML等语言制作的网页的集合.网站的目的是用来展示一些信息,如果是个人网站则是为了展示自己的一些想被人知道的东西,例如自己的一些作品,又或者是通过网站来达到盈利的 ...

  5. VB生成条形码(EAN-13)

    14年给别人写的一个库存软件,用到扫码枪,所以就有了这个类. 编码规则相对简单,详见百度百科EAN-13 示例运行效果如下: 类模块:cEAN13.cls Option Explicit '★━┳━━ ...

  6. javascript函数传值问题(传值?址)

    通常对于我们开发者来说,有不少人是忽略了这些小问题的,但是我们又必要去了解.因为今天一个朋友问起,所以写到这里来了, 在C#中,我们知道如果要往一个函数中传递参数的类型为对象,数组或者其他引用类型时. ...

  7. 解决Django+Vue前后端分离的跨域问题及关闭csrf验证

      前后端分离难免要接触到跨域问题,跨域的相关知识请参:跨域问题,解决之道   在Django和Vue前后端分离的时候也会遇到跨域的问题,因为刚刚接触Django还不太了解,今天花了好长的时间,查阅了 ...

  8. Filter(过滤器)

    一.Filter简介 Filter也称之为过滤器,它是Servlet技术中最激动人心的技术,WEB开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态 ...

  9. 浅拷贝 &&&深拷贝 实现

    1.浅拷贝 //1.直接赋值给一个变量 //浅拷贝 //2.Object.assign() //浅拷贝 let obj4={} let obj5={money:50000} obj4.__proto_ ...

  10. js-day04--Ajax应用--二级联动

    Ajax概述和实用需求 Ajax介绍/阿贾克斯:一.Ajax不是一项具体的技术,而是几门技术的综合应用. Javascript.XHTML和CSS.DOM.XML和XMLHttpRequest.二.A ...