CSRF # 表示django全局发送post请求均需要字符串验证
功能:防止跨站请求伪造的功能
工作原理:客户端访问服务器端,在服务器端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器
端时,服务器端会到客户端查找先前返回的字符串,如果找到则继续,找不到就拒绝。
访问流程:客户端-》URL路由系统 - 》 CSRF -》视图函数
需要在客户端页面的post表单内添加:{% csrf_token %}
全局生效:
  中间件 django.middleware.csrf.CsrfViewMiddleware
局部生效:
    @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
    @csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。
写法如下:
from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_exempt
def index(request):  # 这样表示此函数取消CSRF验证
实例:登录页面通过ajax进行form表单提交
  <body>

    <div class="container">

      <form id='logfrom' class="form-signin">

       {% csrf_token %}

        <h2 class="form-signin-heading">主机管理页面</h2>

        <label for="inputusername" class="sr-only">用户名</label>

        <input type="text" id="inputusername" class="form-control" name="uname" placeholder="username" required="" autofocus=""><span class="nameinfo hide">用户名错误</span>

        <label for="inputPassword" class="sr-only">密码</label>

        <input type="password" id="inputPassword" class="form-control" name="upwd" placeholder="Password" required=""><span class="pwdinfo hide">密码错误</span>

        <div class="checkbox">

          <label>

            <input type="checkbox" value="remember-me"> Remember me

          </label>

        </div>

        <input id='login' class="btn btn-lg btn-primary btn-block" type="button" value="登录">

      </form>

    </div> <!-- /container -->

    <!-- IE10 viewport hack for Surface/desktop Windows 8 bug -->

    <script src="/static/ie10-viewport-bug-workaround.js"></script>

    <script src="/static/jquery-1.12.4.min.js"></script>

    <script src="static/jquery-cookie/jquery.cookie.js"></script>

    <script>

        $('#login').click(function () {

            //以下的ajaxSetup为全局的csrf设置

            $.ajaxSetup({

//             xhr为XmlHttpRequest 对象,是一个固定写法

            beforeSend: function (xhr, settings) {

                /*这里settings代表下面将要执行的ajax里面的内容*/

//                以下表示设置请求头

                xhr.setRequestHeader('X-CSRFtoken', $.cookie('csrftoken'))

            }

        });

            $.ajax({

                url:'/index',

                type:'post',

                data:{'logname':$('#inputusername').val(),'logpwd':$('#inputPassword').val()},

                success:function (data) {

                    if (data == 'ok'){

                        location.href = '/index'

                    }if(data == 'nmerr'){

                        $('.nameinfo').removeClass('hide');

                    }if(data =='pwderr'){

                        $('.pwdinfo').removeClass('hide');

                    }

                }

            })

        })

    </script>

    </body>

views函数中对应的函数设置

from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_exempt
def index(request):
........

中间件

可以定义5个方法:
    - process_request
    - process_view
    - process_response
    - process_exception # 做异常处理
    - process_template_response # 了解即可,如果views中的函数返回的对象中具有render方法,才执行这个函数
适合对所有的请求做统一操作,(如:黑名单)
游览器-URL -中间件-视图函数
实例如:
settings的MIDDLEWARE配置:
    'middle.MIDDLE.M1',
    'middle.MIDDLE.M2',
   'middle.MIDDLE.M3',
模块MIDDLE文件内容
from django.utils.deprecation import MiddlewareMixin

from django.shortcuts import HttpResponse

class M1(MiddlewareMixin):

    def process_request(self,request):

        print('中间件1')

    def process_view(self,request,view_func,view_func_args,view_func_kwargs):

        '''

        :param request: 请求数据

        :param view_func: 视图函数

        :param view_func_args: 视图函数参数

        :param view_func_kwargs: 视图函数参数

        :return:

        '''

        print('新添加中间件1')

    def process_response(self,request,response):

        print('中间件返回1')

        return response

    def process_exception(self,request,exception):

        ''' 当执行的视图函数运行出现错误,则执行此方法提示'''

        if isinstance(exception,ValueError):

            return HttpResponse('当前的view函数出现了异常,请检查')

    def process_template_response(self, request, response):

        # 如果试图函数views中的函数返回的对象中,具有render方法,才执行

        pass

        return response

class M2(MiddlewareMixin):

    def process_request(self,request):

        print('中间件2')

    def process_view(self,request,view_func,view_func_args,view_func_kwargs):

        print('新添加中间件2')

    def process_response(self, request, response):

        print('中间件返回2')

        return response

class M3(MiddlewareMixin):

    def process_request(self,request):

        print('中间件3')

    def process_view(self,request,view_func,view_func_args,view_func_kwargs):

        print('新添加中间件3')

    def process_response(self, request, response):

        print('中间件返回3')

        return response
请求流程:访问-》M1.process_request -> M2.process_request -> M3.process_request -> 返回
                 M1.process_view -> M2.process_view -> M3.process_view -> 视图函数 -> M3.process_response->M2.process_response->M1.process_response

django学习之- CSRF及中间件的更多相关文章

  1. Django学习手册 - csrf

    CSRF csrf原理 无csrf时存在隐患 Form提交 Ajax提交 默认为全局都csrf Form表单提交方式: <div> <form action="/login ...

  2. Django学习笔记之Django中间件

    准备 我们在前面的课程中已经学会了给视图函数加装饰器来判断是用户是否登录,把没有登录的用户请求跳转到登录页面.我们通过给几个特定视图函数加装饰器实现了这个需求.但是以后添加的视图函数可能也需要加上装饰 ...

  3. Django学习笔记(15)——中间件

    当Django处理一个Request的过程是首先通过中间件,然后再通过默认的URL方式进行的.我们可以在Middleware这个地方把所有Request拦截住,用我们自己的方式完成处理以后直接返回Re ...

  4. Django(六)Session、CSRF、中间件

    大纲 二.session 1.session与cookie对比 2.session基本原理及流程 3.session服务器操作(获取值.设置值.清空值) 4.session通用配置(在配置文件中) 5 ...

  5. Django学习笔记之上下文处理器和中间件

    上下文处理器 上下文处理器是可以返回一些数据,在全局模板中都可以使用.比如登录后的用户信息,在很多页面中都需要使用,那么我们可以放在上下文处理器中,就没有必要在每个视图函数中都返回这个对象. 在set ...

  6. Python之路-(Django(csrf,中间件,缓存,信号,Model操作,Form操作))

    csrf 中间件 缓存 信号 Model操作 Form操作 csrf: 用 django 有多久,我跟 csrf 这个概念打交道就有久了. 每次初始化一个项目时都能看到 django.middlewa ...

  7. Django学习---CSRF

    CSRF xss攻击:假设我们网站的评论里面允许用户写js的时候,每个人就会看到页面会执行这个js代码,有的是alert,不停的跳出弹框.这个还不算严重的,关键是如果js代码运行的结果不显示在页面上, ...

  8. Django学习系列之中间件

    中间件的定义 中间件是一个.一个的管道,如果相对任何所有的通过Django的请求进行管理都需要自定义中间件 中间件可以对进来的请求和出去的请求进行控制 中间件是一类 django请求生命周期 自定义中 ...

  9. Django学习系列之CSRF

    Django CSRF 什么是CSRF CSRF, Cross Site Request Forgery, 跨站点伪造请求.举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果 某个用户已经登录到 ...

随机推荐

  1. 伟景行 citymaker 从入门到精通(2)——工程图层树加载

    工程树是指explorer左边这棵树 本例子实现了图层树加载,点击节点切换可视状态 树控件使用easyui的树 html部分 onCheck:treeProjectTreeOnCheck是指树节点的o ...

  2. java中同步(synchronized)详解

    一.开山篇: 1.synchronized的使用 一个程序中,如果该类中的代码可能运行于多线程环境下,那么就要考虑同步的问题.在Java中内置了语言级的同步原语--synchronized,这也大大简 ...

  3. Struts2控制文件的上传与下载

    Struts2控制文件上传与下载的几个注意事项: (1)必须将表单的method设置为post,将enctype设置为multipart/from-data.只有这样,浏览器才会把用户选择文件的二进制 ...

  4. JDBC优化策略总结

    相比Hibernate.iBatis.DBUtils等,理论上JDBC的性能都超过它们.JDBC提供更底层更精细的数据访问策略,这是Hibernate等框架所不具备的.   在一些高性能的数据操作中, ...

  5. HDU 5381 The sum of gcd (技巧,莫队算法)

    题意:有一个含n个元素的序列,接下来有q个询问区间,对每个询问区间输出其 f(L,R) 值. 思路: 天真单纯地以为是道超级水题,不管多少个询问,计算量顶多就是O(n2) ,就是暴力穷举每个区间,再直 ...

  6. Fire Air(华科校赛 网络赛)

    题目 原题链接:https://www.nowcoder.com/acm/contest/106/L 在100000 * 10000的空地上,有n个时间点,每个时间点会在(xi,yi)上种一棵树. 定 ...

  7. 解决WampServer窗口界面乱码问题

    软件版本:WampServer 3.1.4 问题描述:Wamp安装完成.点击图标,发现导航界面乱码,也可能使用中没遇到这种问题.如下: 用记事本打开 wampmanager.ini 和 wampman ...

  8. SQL Server数据库的除法默认向下取整,要返回小数的解决方法

    num1; / 1000.0 num2; * 1.0 num3; num4; 结果:

  9. centOS出现 -bash: vim: command not found

    问题描述 用centos 的主机的時候, 用 vim 时出现 -bash: vim: command not found. 只能使用 vi. 那么如何安裝 vim 呢? 解决步骤 1.查看是否安装 输 ...

  10. Java 一些常见问题(持续更新)

    1. Java 内部类 内部类有四种常见的类型:成员内部类.局部内部类.匿名内部类和静态内部类. 1.成员内部类:定义为另一个类的里面如下: class Circle { double radius ...