CSRF和中间件

CSRF使用

说明csrf存在cookie中

全局使用

MIDDLEWARE = [

    'django.middleware.security.SecurityMiddleware',

    'django.contrib.sessions.middleware.SessionMiddleware',

    'django.middleware.common.CommonMiddleware',

    'django.middleware.csrf.CsrfViewMiddleware',

    'django.contrib.auth.middleware.AuthenticationMiddleware',

    'django.contrib.messages.middleware.MessageMiddleware',

    'django.middleware.clickjacking.XFrameOptionsMiddleware',

]

局部使用

先导入

from django.views.decorators.csrf import csrf_exempt,csrf_protect

@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。

@csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

前端使用

1.通过引入js实现

function getCookie(name) {

    var cookieValue = null;

    if (document.cookie && document.cookie !== '') {

        var cookies = document.cookie.split(';');

        for (var i = 0; i < cookies.length; i++) {

            var cookie = jQuery.trim(cookies[i]);

            // Does this cookie string begin with the name we want?

            if (cookie.substring(0, name.length + 1) === (name + '=')) {

                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));

                break;

            }

        }

    }

    return cookieValue;

}

var csrftoken = getCookie('csrftoken');

function csrfSafeMethod(method) {

  // these HTTP methods do not require CSRF protection

  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));

}

$.ajaxSetup({

  beforeSend: function (xhr, settings) {

    if (!csrfSafeMethod(settings.type) && !this.crossDomain) {

      xhr.setRequestHeader("X-CSRFToken", csrftoken);

    }

  }

});

2、作为参数传入

<script>

        var csrftoken = $.cookie('csrftoken');

        $(function () {

            $('#btn').click(function () {

                $.ajax({

                    url:'/login/',

                    type:"POST",

                    data:{'username':'root','pwd':'123123'},

                    header:{'X-CSRFtoken':csrftoken},

                    success:function (arg) {

                    }

                })

            })

        })

    </script>

3、自定义form引入

{% csrf_token %}

中间件

1.概述

定义:中间件是在wsgi之后 urls.py之前 在全局 操作Django请求和响应的模块!

# 中间件的相关设置

MIDDLEWARE = [

    'django.middleware.security.SecurityMiddleware',

    'django.contrib.sessions.middleware.SessionMiddleware',  # request.session

    'django.middleware.common.CommonMiddleware',

    'django.middleware.csrf.CsrfViewMiddleware',

    'django.contrib.auth.middleware.AuthenticationMiddleware',

    'django.contrib.messages.middleware.MessageMiddleware',

    'django.middleware.clickjacking.XFrameOptionsMiddleware',

    'my_middleware.OoXx',

    'my_middleware.MD2',

]

2.中间件的五种方法

(1) .process_request(self,request)

请求来时执行,不写直接跳过,执行下一个中间件;当有return HttpResonse时,下面中间件不再执行。

执行顺序:
按照注册的顺序(在settings.py里面设置中 从上到下的顺序)
何时执行:
请求从wsgi拿到之后
返回值:
返回None,继续执行后续的中间件的process_request方法
返回response , 不执行后续的中间件的process_request方法

(2) process_view(self, request, callback, callback_args, callback_kwargs)

先执行process_request,执行完后,再从起始执行proces_view

执行顺序:
按照注册的顺序(在settings.py里面设置中 从上到下的顺序)
何时执行:
在urls.py中找到对应关系之后 在执行真正的视图函数之前
返回值:
返回None,继续执行后续的中间件的process_view方法
返回response,

(3)  process_template_response(self,request,response)

如果Views中的函数返回的对象中,具有render方法,此方法执行

执行顺序:
按照注册顺序的倒序(在settings.py里面设置中 从下到上的顺序)
何时执行:
视图函数执行完,在执行视图函数返回的响应对象的render方法之前
返回值:
返回None,继续执行后续中间件的process_exception
返回response,

(4).  process_exception(self, request, exception)

异常触发执行,当views.py函数执行出错后,此方法执行;出错时,最低层的exception优先级最高,执行最近的一个,然后执行respnse方法

执行顺序:
按照注册顺序的倒序(在settings.py里面设置中 从下到上的顺序)
何时执行:
视图函数中抛出异常的时候才执行
返回值:
返回None,继续执行后续中间件的process_exception
返回response,

(5). process_response(self, request, response)

请求返回时执行,不写时直接跳过,执行下一个中间件;当有return HttpResonse时,会替换原数据

执行顺序:
按照注册顺序的倒序(在settings.py里面设置中 从下到上的顺序)
何时执行:
请求有响应的时候
返回值:
必须返回一个response对象

以上方法的返回值可以是None和HttpResonse对象,如果是None,则继续按照django定义的规则向下执行,如果是HttpResonse对象,则直接将该对象返回给用户

Django调用 注册的中间件里面五个方法的顺序:
1. process_request
urls.py
2. process_view
view
3. 有异常就执行 process_exception
4. 如果视图函数返回的响应对象有render方法,就执行process_template_response
5. process_response

3.自定义中间件

创建文件 my_middleware.py

from django.shortcuts import HttpResponse, redirect

"""

自定义的中间件

"""

from django.utils.deprecation import MiddlewareMixin

# 定义一个可以访问的白名单

URL = ["/oo/", "/xx/", "/haha/"]

class OoXx(MiddlewareMixin):

    def process_request(self, request):

        print("这是我的第一个中间件:OoXx!")

        print(id(request))

        # print(request.path_info)

        # # 如果用户访问的URL 在 白名单里面

        # if request.path_info in URL:

        #     return

        # # 否则 直接返回一个 响应 不走视图那部分了

        # else:

        #     return HttpResponse("gun!")

    def process_response(self, request, response):

        """

        :param request: 是浏览器发来的请求对象

        :param response: 是视图函数返回的响应对象

        :return:

        """

        print("这是OOXX中间件里面的 process_response")

        # return response

        return HttpResponse("hahahaha")

    def process_view(self, request, view_func, view_args, view_kwargs):

        """

        :param request: 浏览器发来的请求对象

        :param view_func: 将要执行的视图函数的名字

        :param view_args: 将要执行的视图函数的位置参数

        :param view_kwargs: 将要执行的视图函数的关键字参数

        :return:

        """

        print("ooxx里面的process_view")

        print(view_func, type(view_func))

        return HttpResponse("ooxx:process_view")

    def process_exception(self, request, exception):

        print(exception)

        print("ooxx里面的process_exception")

        return redirect("http://www.baidu.com")

    def process_template_response(self, request, response):

        print("ooxx 中的process_template_response")

        return response

    def process_request(self, request):

       request.s10 = {"is_login": 1, "name": "s10"}

class MD2(MiddlewareMixin):

    # def process_request(self, request):

    #     print("这是我的第二个中间件:MD2!")

    #     print(id(request))

    #

    # def process_response(self, request, response):

    #     print("这是MD2中间件里面的 process_response")

    #     return response

    #

    # def process_view(self, request, view_func, view_args, view_kwargs):

    #     print("MD2里面的process_view")

    #     print(view_func, type(view_func))

    #     return HttpResponse("md2:process_view")

    # def process_exception(self, request, exception):

    #     print(exception)

    #     print("MD2里面的process_exception")

    # def process_template_response(self, request, response):

    #     print("MD2 中的process_template_response")

    #     return response

    def process_request(self, request):

       print(request.s10.get("is_login"))

注册

# 中间件的相关设置

MIDDLEWARE = [

    'django.middleware.security.SecurityMiddleware',

    'django.contrib.sessions.middleware.SessionMiddleware',  # request.session

    'django.middleware.common.CommonMiddleware',

    'django.middleware.csrf.CsrfViewMiddleware',

    'django.contrib.auth.middleware.AuthenticationMiddleware',

    'django.contrib.messages.middleware.MessageMiddleware',

    'django.middleware.clickjacking.XFrameOptionsMiddleware',

    'my_middleware.OoXx',

    'my_middleware.MD2',

]

请求测试

from django.shortcuts import render, HttpResponse, redirect

# Create your views here.

def index(request):

    print("这是app01里面的index视图函数...")

    # raise ValueError("sb")

    rep = HttpResponse("O98K")

    print("视图函数中的s10:", request.s10)

    def render():

        print("我是index视图函数内部的render方法")

        return redirect("http://www.luffycity.com")

    rep.render = render

    return rep

django csrf 中间件的更多相关文章

  1. django—csrf中间件校验流程

    CSRF(跨站请求伪造)是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法. 这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求 ...

  2. 30.Django CSRF 中间件

    CSRF 1.概述 CSRF(Cross Site Request Forgery)跨站点伪造请求,举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用 ...

  3. 7.Django CSRF 中间件

    CSRF 1.概述 CSRF(Cross Site Request Forgery)跨站点伪造请求,举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用 ...

  4. Django对中间件的调用思想、csrf中间件详细介绍、Django settings源码剖析、Django的Auth模块

    目录 使用Django对中间件的调用思想完成自己的功能 功能要求 importlib模块介绍 功能的实现 csrf中间件详细介绍 跨站请求伪造 Django csrf中间件 form表单 ajax c ...

  5. Python之路-(Django(csrf,中间件,缓存,信号,Model操作,Form操作))

    csrf 中间件 缓存 信号 Model操作 Form操作 csrf: 用 django 有多久,我跟 csrf 这个概念打交道就有久了. 每次初始化一个项目时都能看到 django.middlewa ...

  6. Django的csrf中间件

    csrf中间件 ​ csrf 跨站请求伪造 ​ 补充两个装饰器: ​ from django.views.decorators.csrf import csrf_exempt,csrf_protect ...

  7. csrf 跨站请求伪造相关以及django的中间件

    django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware来完成. 1.django中常用的中间件? - proces ...

  8. python 全栈开发,Day87(ajax登录示例,CSRF跨站请求伪造,Django的中间件,自定义分页)

    一.ajax登录示例 新建项目login_ajax 修改urls.py,增加路径 from app01 import views urlpatterns = [ path('admin/', admi ...

  9. Django 中CSRF中间件 'django.middleware.csrf.CsrfViewMiddleware',

    1.Django中CSRF中间件的工作原理及form表单提交需要添加{% csrf_token %}防止出现403错误 CSRF # 表示django全局发送post请求均需要字符串验证功能:防止跨站 ...

随机推荐

  1. lua 打印一个table的实现

    print("-------------Test-----------------") local tb = {} function printProperties(t, csp) ...

  2. sublime text安装与使用记录

    一.安装Sublime Text 3 官网 http://www.sublimetext.com/3 进入官网选择所需版本下载 打开ST3,点击菜单 View -> Show Console,会 ...

  3. 第一篇 Springboot + Web MVC + MyBatis + 简单UI + Thymeleaf实现

    源码链接:https://pan.baidu.com/s/1-LtF56dnCM277v5lILRM7g 提取码:c374 第二篇 Springboot mybatis generate根据数据库表自 ...

  4. Python学习小记(2)---[list, iterator, and, or, zip, dict.keys]

    1.List行为 可以用 alist[:] 相当于 alist.copy() ,可以创建一个 alist 的 shallo copy,但是直接对 alist[:] 操作却会直接操作 alist 对象 ...

  5. web渗透之XSS基本介绍

    想学XSS必须得有基本得JS知识 JS基础BOM XSS漏洞原理 XSS(Cross Site Script),全称跨站脚本攻击.它指的是攻击者往web页面或者url里插入恶意JavaScript脚本 ...

  6. Android中使用SeekBar拖动条实现改变图片透明度

    场景 效果 注: 博客: https://blog.csdn.net/badao_liumang_qizhi 关注公众号 霸道的程序猿 获取编程相关电子书.教程推送与免费下载. 实现 将布局改为Lin ...

  7. Android5.1 WebView遇坑笔记-Resources$NotFoundException

    Bugly遇到异常 查找原因,分析发现崩溃发生在Android版本21和22上,在网上查找资料发现下面解决方案 使用自定义WebView替换原生自带WebView解决 package com.test ...

  8. MongoDB3.4版本新增特性

    先说明一下mongod和mongos的含义:mongod是MongoDB系统的主要后台进程,它处理数据请求.管理数据访问和执行后台管理操作:该命令的命令行选项主要用于测试,在场景操作中,使用配置文件选 ...

  9. 硬盘500M,为什么没有500M。10M宽带,为什么网速没有10M?

    在天朝, 硬件厂商用1000代替1024, 通信公司,用 byte来代替bit. 比如 500G的硬盘,应该有 500 * 1024 *1024 *8 = 4.194304*10^9 位 但是按照厂商 ...

  10. 异步处理MultipartFile No such file or directory的分析

    背景 项目中开发导入功能,因为数据量比较大,所以要求后端异步操作(个人觉得前端ajax处理最好,有空再试一下).但是操作中发现改为异步之后,相同代码的情况下会报(No such file or dir ...