title: django处理cookie的机制

tags: djaogo, cookie, session

grammar_cjkRuby: true

cookie的意义

在多数日常使用的网站中,都需要用到cookie的机制。

凡是需要登录后按用户身份进行功能使用的网站,大多数使用了cookie机制。

那么,cookie是什么呢?

cookie是用来标示用户身份的,可以标示特定的用户

每个用户都有自己特定的cookie

我们可以通过cookie拿到用户标示,识别用户,进而达到给每个用户提供不一样的页面的可能性。

通过一个例子看下cookie的使用场景。

在之前的博客中,我们讲述了一个简单的登陆的例子。

其中就有使用cookies的功能


def index(request):
msg = ""
username = request.get_cookie("username"):
if username:
return render(request, 'index.html', {'username': username})
else:
return render(request, 'login.html')

可以看到 ,后端通过request.get_cookie方法得到了之前的程序段放到cookie中的username

这样,就通过cookie把用户名读出来了

有关cookie的一些API参数设置

HttpResponse.set_cookie(key, value='', max_age=None, expires=None,

path='/', domain=None, secure=None, httponly=False)

设置一个cookie。参数与Python 标准库中的Morsel Cookie 对象相同。

max_age 以秒为单位,如果Cookie只应该持续客户端浏览器的会话时长则应该为None(默认值)

如果没有指定expires,则会通过计算得到。

expires 应该是一个 UTC "Wdy, DD-Mon-YY HH:MM:SS GMT"

格式的字符串,或者一个datetime.datetime 对象。如果expires 是一个datetime 对象,则max_age 会通过计算得到。

如果你想设置一个跨域的Cookie,请使用domain 参数。例如,domain=".lawrence.com"

将设置一个www.lawrence.com blogs.lawrence.com 和calendars.lawrence.com

都可读的Cookie。否则,Cookie 将只能被设置它的域读取。

如果你想阻止客服端的JavaScript 访问Cookie,可以设置httponly=True。

HTTPOnly 是包含在HTTP 响应头部Set-Cookie 中的一个标记。它不是RFC 2109 中Cookie

的标准,也并没有被所有的浏览器支持。但是,如果使用,它是一种降低客户端脚本访问受保护的Cookie 数据风险的有用的方法

警告

RFC 2109 和RFC 6265 都声明客户端至少应该支持4096个字节的Cookie。对于许多浏览器,这也是最大的大小。如果视图存储大于4096 个字节的Cookie,Django

不会引发异常,但是浏览器将不能正确设置Cookie。

我们做点简单的实验,看看这些参数的意义是怎样的

首先,我们给cookies设置过期时间

max_age 的单位是秒

我们把上面的程序段改写如下:

#coding:utf-8
from django.shortcuts import render
from django.shortcuts import redirect
from app01 import models def login(request):
# models.Administrator.objects.create(username = "root", password =
# "123123")
msg = ''
if request.method == 'POST':
print 'start...'
print request.method
username = request.POST.get('username')
password = request.POST.get('password')
c = models.Administrator.objects.filter(username = username,
password = password).count()
if c:
rep = redirect('/index.html')
rep.set_cookie('username', username, max_age = 20)
rep.set_cookie('email', "aaabbb")
return rep
else:
msg = "用户名密码有错误"
return render(request, "login.html", {'msg': msg})
return render(request, 'login.html', {'msg': msg})

我们通过设置max_age可以看到,设置20秒的过期时间,当登陆之后,页面在20秒后会退回到登陆页

domain参数用于设置作用域,防止跨域问题,设置了作用域之后,则该cookie只能在该域名下生效,其他域名是读取不到这个cookie的

httponly选项则是限定是否只能通过正常的http访问的方式得到cookie的值

如果不设置这个值或者设置为False的话

那么是可以在浏览器的调试模式通过documen.cookie方法得到cookie的值的

当我们设置httponly为False的时候,就会发现在前端是无法通过document.cookie获取到cookie的值的

即使使用了httponly = True的方式或者是set_sign_cookie的方式,还是不够安全,因为可以通过抓包等方式获取cookie的内容

还有种cookie叫做signed_cookie

其实就是对cookie进行了编码,实现了一定程度上的cookie加密功能

  request.set_signed_cookie(k, v, salt = "XXXXX")

参数简要说明:

k,v 是键值对

salt是加密盐

那么,怎么达到既保证安全又能让用户有个性化的服务呢?

答案是把敏感信息放到数据库中保存

非敏感信息可以放到cookie里面去

cookie和session有什么区别

cookie是客户端的

session是服务端的

但是session的目的也是为了标记客户端,所以session也需要借助cookie来实现

django处理cookie的机制的更多相关文章

  1. Redis+Django(Session,Cookie)的用户系统

    一.Django authentication django authentication提供了一个便利的user api接口,无论在py中 request.user,参见Request and re ...

  2. 第十九章 Django的ORM映射机制

    第十九章 Django的ORM映射机制 第一课 Django获取多个数据以及文件上传 1.获取多选的结果(checkbox,select/option)时: req.POST.getlist('fav ...

  3. Redis+Django(Session,Cookie、Cache)的用户系统

    转自 http://www.cnblogs.com/BeginMan/p/3890761.html 一.Django authentication django authentication 提供了一 ...

  4. [py][mx]django的cookie和session操作-7天免登录

    浏览器同源策略(same-origin policy) csrf攻击防御核心点总结 django的cookie和session操作-7天免登录 flask操作cookie&django的see ...

  5. 12 Django之Cookie和Session

    一.什么是Cookie Cookie的由来 大家都知道HTTP协议是无状态的. 无状态的意思是每次请求都是独立的,它的执行情况和结果与前面的请求和之后的请求都无直接关系,它不会受前面的请求响应情况直接 ...

  6. web框架开发-Django组件cookie与session

    http协议的每一次都是无保存状态的请求,这会带来很多的不方便,比如,一刷新网页,或者进入该网页的其他页面,无法保存之前的登录状态.为了解决类似这样的问题,引入了会话跟踪 会话跟踪技术 1 什么是会话 ...

  7. 【转】Cookie/Session机制详解

    Cookie/Session机制详解   会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话.常用的会话跟踪技术是Cookie与Session.Cookie通过在客户端记录信息 ...

  8. Django之Cookie、Session、CSRF、Admin

    Django之Cookie.Session.CSRF.Admin   Cookie 1.获取Cookie: 1 2 3 4 5 6 request.COOKIES['key'] request.get ...

  9. python 全栈开发,Day76(Django组件-cookie,session)

    昨日内容回顾 1 json 轻量级的数据交换格式 在python 序列化方法:json.dumps() 反序列化方法:json.loads() 在JS中: 序列化方法:JSON.stringfy() ...

随机推荐

  1. python数据类型——列表和元组类型

    列表类型(list) 定义一个列表类型很简单: l = ['a','b','c','d','e','f'] 变量l即为列表类型,可以用type方法查看: print(type(l)) 列表的增删改查 ...

  2. linux下主机用户管理(完整详情)

    (一) 创建新用户 useradd命令(也可以使用adduser)用来创建新的用户帐号,其命令格式如下: 表4-19 useradd命令常用选项 常用现象意 义 -d设置新用户的登陆目录 -e设置新用 ...

  3. win7上Android环境搭建以及调试

    工欲善其事必先利其器,好记性不如烂笔头.要学习一门新的语言,首先必须得先搭环境,否则没法实践.如果之前按照网上的提示,搭建过环境,而且环境比较复杂的话,我相信隔很长一段时间后,就会忘记,到真正用的时候 ...

  4. 读书笔记-浅析Java运行时数据区

    作为一个 Java 为主语言的程序员,我偶尔也需要 用 C/C++ 写程序,在使用时让我很烦恼的一件事情就是需要对 new 出来的对象进行 delete/free 操作,我老是担心忘了这件事情,从而导 ...

  5. 30.Django CSRF 中间件

    CSRF 1.概述 CSRF(Cross Site Request Forgery)跨站点伪造请求,举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用 ...

  6. struts_自定义日期类型转换器

    1.问题:struts默认的日期类型是 xxxx-mm-dd,不能接收xxxx/mm//dd类型的日期 2.解决方案(继承DefaultTypeConverter,覆盖convertValue(Obj ...

  7. python多线程、多进程以及GIL

    多线程 使用threading模块创建线程 传入一个函数 这种方式是最基本的,即调用threading中的Thread类的构造函数,然后指定参数target=func,再使用返回的Thread的实例调 ...

  8. Eslint报错整理与解决方法(持续整理)

    1.'Unexpected tab character' 字面意思理解呢就是意想不到的制表符,当时出现的时候就是我习惯的使用Tab键去打空格,但是eslint默认不认可Tab,所以解决方法很简单: 在 ...

  9. 三方面搞定http协议之“状态码”

    当我们向服务器请求数据的时候,服务器会给我们一个反馈,告诉我们对待我们的请求,服务器处理得怎么样了,而这个反馈,是通过数字来传达的,这个数字就叫状态码. 状态码分为以下几种: 1xx:指示信息--表示 ...

  10. Java Swing应用程序 JComboBox下拉框联动查询

    在web项目中,通过下拉框.JQuery和ajax可以实现下拉框联动查询. 譬如说,当你查询某个地方时,页面上有:省份:<下拉框省份> 市区:<下拉框市区> 县乡:<下拉 ...