浏览器同源策略(same-origin policy)

csrf攻击防御核心点总结

django的cookie和session操作-7天免登录

flask操作cookie&django的seesion和cookie机制

处理登录逻辑

users/views.py

from django.contrib.auth import authenticate, login

def user_login(request):
if request.method == "POST":
user_name = request.POST.get("username", "")
pass_word = request.POST.get("password", "")
user = authenticate(username=user_name, password=pass_word)
if user is not None: # 用户名密码验证成功
login(request, user) # django执行用户登录, 这里django往request里写了一些东西返回给html了.
return render(request, "index.html")
else:
return render(request, "index.html",{}) #返回一些错误提示 elif request.method == "GET":
return render(request, "login.html",{}) #返回一些错误提示

templates/index.html

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>index</title>
<link rel="stylesheet" href="/static/css/style.css">
</head>
<body> {% if request.user.is_authenticated %} {#登录成功, 这里html可以引用request的内容,因为views将request注入到html了 #}
<div>
欢迎{{ request.user }}登录!!!
</div>
{% else %}{#登录失败#}
<div>
<p><a href="/login">登录</a></p>
<p><a href="/register">注册</a></p>
</div>
{% endif %}
<script src="/static/js/jquery-3.3.1.min.js"></script>
</body>
</html>

templates/login.html

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>login</title>
</head>
<body>
<div>
<form action="/login/" method="post">{#这里一定要/login/ 末尾也有斜杠#}
<p><input type="text" name="username" placeholder="username"></p>
<p><input type="text" name="password" placeholder="password"></p>
<p><input type="submit"></p>
</form>
</div>
</body>
</html>

浏览器同源策略(same-origin policy)

csrf攻击防御核心点总结

django的cookie和session操作-7天免登录

flask操作cookie&django的seesion和cookie机制

django的中间件csrf拦截器(完整csrf token的自动添加和认证)

理解浏览器同源策略的影响-不通域名之间cookie无法共享用(避免csrf攻击)+ajax无法异域发请求获取数据

处理csrf攻击问题



django认为表单的提交一定是先从django这里获取过表单.

django是这样子搞的, get时候先给你一个隐藏的input token, 提交的时候你给我带回来. 即你提交用的表单是我给你的.

templates/login.html

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>login</title>
</head>
<body>
<div>
<form action="/login/" method="post">
<p><input type="text" name="username" placeholder="username"></p>
<p><input type="text" name="password" placeholder="password"></p>
<p><input type="submit"></p>
{% csrf_token %}
</form>
</div>
</body>
</html>

首页登录前后的展示

html是可以通过调用request给注入进去的变量来判断用户是否登录, request.user.is_authenticated. 前端用到jinjia2的if语法

templates/index.html

!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>index</title>
<link rel="stylesheet" href="/static/css/style.css">
</head>
<body> {% if request.user.is_authenticated %} {#登录成功#}
<div>
欢迎{{ request.user }}登录!!!
</div>
{% else %}{#登录失败#}
<div>
<p><a href="/login">登录</a></p>
<p><a href="/register">注册</a></p>
</div>
{% endif %}
<script src="/static/js/jquery-3.3.1.min.js"></script>
</body>
</html>

小结: 浏览器同源策略&csrf漏洞点&django针对csrf的防御措施

- 同源是指 https:// www.baidu.com:80
协议 域名 端口 三元素相同 - 同源策略的影响:
- 不同源cookie不能互相获取
csrf攻击:
发生情况: 用户误操点了黑客链接(遵从同源)
正确的:http://bank.example/withdraw?account=bob&amount=1000000&for=bob2
错误的:http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory
攻击关键点:
更改url参数,借用用户cookie进行不正当操作(符合同源)
漏洞点: 表单不具备唯一性
django防御措施:
如何防范: get表单时附带{% csrf_token %},提交过来数据后验证token是否同一个.
防御对象: 给能造成修改的表单添加token字段
- ajax不能异源请求(感觉这是被扫黄时候误打了.)

简单骨灰版小结csrf攻击

浏览器同源策略
用户登录后,获的cookie,即具备操作权限
不同源不能共享cookie----防止了黑客修改url方式攻击
但没防止修改url参数的方式攻击
如何防止?
csrf_token使得get到表单具备唯一性.post数据后服务器进行验证

[py][mx]django处理登录逻辑的更多相关文章

  1. [py][mx]django自定义认证类-实现邮箱作为用户名登录

    创建自定义验证用户名密码类CustomBackend users/views.py from django.contrib.auth import authenticate, login from d ...

  2. [py][mx]django form验证-给db减压

    django form认证-解压db压力 一般系统都需要前后端都验证 前端验证容器逃逸破解,如通过js console口去发 试想如果后端只有db验证,那么前端无论发什么后端都查询一次db,对db压力 ...

  3. [py][mx]django模板继承-课程列表页

    课程列表页分析 1,机构类型 2,所在地区 3.排序 学习人数 先分析下 纵观页面,页头页脚都一样. django提供了模板继承. 至少 不同页面的title 面包屑路径 content内容不一致,以 ...

  4. [py][mx]django使用class写views-免去判断方法的烦恼

    修改views使用class模式 类模式写views - 免去了函数模式的判断的烦恼 users/views.py from django.views.generic import View clas ...

  5. [py][mx]django项目-让系统用自定义的users表认证

    项目开端 参考的是mxonline项目 先把这两项完成 1.app设计 2.app的models的设计 经过分析系统有四个模块 users - 用户管理 course - 课程管理 oranizati ...

  6. [py][mx]django课程页显示city和机构封面图

    city和课程机构信息展示到前台去 organization/views.py from django.views.generic.base import View from organization ...

  7. [py][mx]django xadmin后台配置

    xadmin配置 - 安装 pip install -r https://github.com/sshwsfc/xadmin/blob/django2/requirements.txt 以下被我测试通 ...

  8. [py][mx]django的cookie和session操作-7天免登录

    浏览器同源策略(same-origin policy) csrf攻击防御核心点总结 django的cookie和session操作-7天免登录 flask操作cookie&django的see ...

  9. [py][mx]django分页第三方模块django-pure-pagination

    前台的这些数据都是从后台取来的 分页模块django-pure-pagination - 一款基于django pagination封装的更好用的分页模块 https://github.com/jam ...

随机推荐

  1. sencha touch Model validations 自定义验证 二选一输入验证、重复验证、时间验证、比较验证、条件验证(2015-1-14)

    项目初始化时执行以下代码 //重写模型,方便进行自定义验证 Ext.define("Ext.zh.data.Model", { override: "Ext.data.M ...

  2. js函数 test.caller 谁在调用test函数

    返回调用指定函数的函数. function test() { if (test.caller === null) console.log('test 函数在全局调用'); // 获取调用 test函数 ...

  3. postgresql----条件表达式

    postgresql支持CASE,COALESCE,NULLIF,GREATEST,LEAST条件表达式,使用它们有时候可以简化许多功能实现. 测试表 test),sex )); CREATE TAB ...

  4. IIS 未能加载文件或程序集“System.Web.Mvc, Version=5.2

    MVC配置不正确 1. 应用程序池配置成经典模式, 2. 程序池高级设置32位模式. 3.MVC目录设置不网站根目录 ,不要设置为VIEWS目录下.

  5. python爬虫重定向次数过多问题

    错误提示如下: raise TooManyRedirects('Exceeded %s redirects.' % self.max_redirects, response=resp)requests ...

  6. RabbitMQ----整理

    ------------------------------------------------------------------RabbitMQ-------------------------- ...

  7. {前端CSS} 语法 Css的几种引入方式 css选择器 选择器的优先级 CSS属性相关 背景属性 边框 CSS盒子模型 清除浮动 overflow溢出属性  定位(position)z-index

    前端CSS CSS介绍 CSS(Cascading Style Sheet,层叠样式表)定义如何显示HTML元素,给HTML设置样式,让它更加美观. 当浏览器读到一个样式表,它就会按照这个样式表来对文 ...

  8. [No0000128]SQL纵表与横表互转

    1.纵表转横表: 纵表结构:Table1 转换后的横表结构: Sql示例代码: select username, sum(case Course when '语文' then Grade else 0 ...

  9. 洛谷P2747周游加拿大Canada Tour [USACO5.4] dp

    正解:dp 解题报告: 传送门! 其实这题是我做网络流的时候发现了这题,感觉有点像双倍经验,,,? 但是我还不想写网络流的题解,,,因为网络流24题都还麻油做完,,,想着全做完了再写个总的题解什么的( ...

  10. icon工具类

    using System; using System.Drawing; using System.Collections; using System.ComponentModel; using Sys ...