CSRF # 表示django全局发送post请求均需要字符串验证
功能:防止跨站请求伪造的功能
工作原理:客户端访问服务器端,在服务器端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器
端时,服务器端会到客户端查找先前返回的字符串,如果找到则继续,找不到就拒绝。
访问流程:客户端-》URL路由系统 - 》 CSRF -》视图函数
需要在客户端页面的post表单内添加:{% csrf_token %}
全局生效:
  中间件 django.middleware.csrf.CsrfViewMiddleware
局部生效:
    @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
    @csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。
写法如下:
from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_exempt
def index(request):  # 这样表示此函数取消CSRF验证
实例:登录页面通过ajax进行form表单提交
  <body>

    <div class="container">

      <form id='logfrom' class="form-signin">

       {% csrf_token %}

        <h2 class="form-signin-heading">主机管理页面</h2>

        <label for="inputusername" class="sr-only">用户名</label>

        <input type="text" id="inputusername" class="form-control" name="uname" placeholder="username" required="" autofocus=""><span class="nameinfo hide">用户名错误</span>

        <label for="inputPassword" class="sr-only">密码</label>

        <input type="password" id="inputPassword" class="form-control" name="upwd" placeholder="Password" required=""><span class="pwdinfo hide">密码错误</span>

        <div class="checkbox">

          <label>

            <input type="checkbox" value="remember-me"> Remember me

          </label>

        </div>

        <input id='login' class="btn btn-lg btn-primary btn-block" type="button" value="登录">

      </form>

    </div> <!-- /container -->

    <!-- IE10 viewport hack for Surface/desktop Windows 8 bug -->

    <script src="/static/ie10-viewport-bug-workaround.js"></script>

    <script src="/static/jquery-1.12.4.min.js"></script>

    <script src="static/jquery-cookie/jquery.cookie.js"></script>

    <script>

        $('#login').click(function () {

            //以下的ajaxSetup为全局的csrf设置

            $.ajaxSetup({

//             xhr为XmlHttpRequest 对象,是一个固定写法

            beforeSend: function (xhr, settings) {

                /*这里settings代表下面将要执行的ajax里面的内容*/

//                以下表示设置请求头

                xhr.setRequestHeader('X-CSRFtoken', $.cookie('csrftoken'))

            }

        });

            $.ajax({

                url:'/index',

                type:'post',

                data:{'logname':$('#inputusername').val(),'logpwd':$('#inputPassword').val()},

                success:function (data) {

                    if (data == 'ok'){

                        location.href = '/index'

                    }if(data == 'nmerr'){

                        $('.nameinfo').removeClass('hide');

                    }if(data =='pwderr'){

                        $('.pwdinfo').removeClass('hide');

                    }

                }

            })

        })

    </script>

    </body>

views函数中对应的函数设置

from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_exempt
def index(request):
........

中间件

可以定义5个方法:
    - process_request
    - process_view
    - process_response
    - process_exception # 做异常处理
    - process_template_response # 了解即可,如果views中的函数返回的对象中具有render方法,才执行这个函数
适合对所有的请求做统一操作,(如:黑名单)
游览器-URL -中间件-视图函数
实例如:
settings的MIDDLEWARE配置:
    'middle.MIDDLE.M1',
    'middle.MIDDLE.M2',
   'middle.MIDDLE.M3',
模块MIDDLE文件内容
from django.utils.deprecation import MiddlewareMixin

from django.shortcuts import HttpResponse

class M1(MiddlewareMixin):

    def process_request(self,request):

        print('中间件1')

    def process_view(self,request,view_func,view_func_args,view_func_kwargs):

        '''

        :param request: 请求数据

        :param view_func: 视图函数

        :param view_func_args: 视图函数参数

        :param view_func_kwargs: 视图函数参数

        :return:

        '''

        print('新添加中间件1')

    def process_response(self,request,response):

        print('中间件返回1')

        return response

    def process_exception(self,request,exception):

        ''' 当执行的视图函数运行出现错误,则执行此方法提示'''

        if isinstance(exception,ValueError):

            return HttpResponse('当前的view函数出现了异常,请检查')

    def process_template_response(self, request, response):

        # 如果试图函数views中的函数返回的对象中,具有render方法,才执行

        pass

        return response

class M2(MiddlewareMixin):

    def process_request(self,request):

        print('中间件2')

    def process_view(self,request,view_func,view_func_args,view_func_kwargs):

        print('新添加中间件2')

    def process_response(self, request, response):

        print('中间件返回2')

        return response

class M3(MiddlewareMixin):

    def process_request(self,request):

        print('中间件3')

    def process_view(self,request,view_func,view_func_args,view_func_kwargs):

        print('新添加中间件3')

    def process_response(self, request, response):

        print('中间件返回3')

        return response
请求流程:访问-》M1.process_request -> M2.process_request -> M3.process_request -> 返回
                 M1.process_view -> M2.process_view -> M3.process_view -> 视图函数 -> M3.process_response->M2.process_response->M1.process_response

django学习之- CSRF及中间件的更多相关文章

  1. Django学习手册 - csrf

    CSRF csrf原理 无csrf时存在隐患 Form提交 Ajax提交 默认为全局都csrf Form表单提交方式: <div> <form action="/login ...

  2. Django学习笔记之Django中间件

    准备 我们在前面的课程中已经学会了给视图函数加装饰器来判断是用户是否登录,把没有登录的用户请求跳转到登录页面.我们通过给几个特定视图函数加装饰器实现了这个需求.但是以后添加的视图函数可能也需要加上装饰 ...

  3. Django学习笔记(15)——中间件

    当Django处理一个Request的过程是首先通过中间件,然后再通过默认的URL方式进行的.我们可以在Middleware这个地方把所有Request拦截住,用我们自己的方式完成处理以后直接返回Re ...

  4. Django(六)Session、CSRF、中间件

    大纲 二.session 1.session与cookie对比 2.session基本原理及流程 3.session服务器操作(获取值.设置值.清空值) 4.session通用配置(在配置文件中) 5 ...

  5. Django学习笔记之上下文处理器和中间件

    上下文处理器 上下文处理器是可以返回一些数据,在全局模板中都可以使用.比如登录后的用户信息,在很多页面中都需要使用,那么我们可以放在上下文处理器中,就没有必要在每个视图函数中都返回这个对象. 在set ...

  6. Python之路-(Django(csrf,中间件,缓存,信号,Model操作,Form操作))

    csrf 中间件 缓存 信号 Model操作 Form操作 csrf: 用 django 有多久,我跟 csrf 这个概念打交道就有久了. 每次初始化一个项目时都能看到 django.middlewa ...

  7. Django学习---CSRF

    CSRF xss攻击:假设我们网站的评论里面允许用户写js的时候,每个人就会看到页面会执行这个js代码,有的是alert,不停的跳出弹框.这个还不算严重的,关键是如果js代码运行的结果不显示在页面上, ...

  8. Django学习系列之中间件

    中间件的定义 中间件是一个.一个的管道,如果相对任何所有的通过Django的请求进行管理都需要自定义中间件 中间件可以对进来的请求和出去的请求进行控制 中间件是一类 django请求生命周期 自定义中 ...

  9. Django学习系列之CSRF

    Django CSRF 什么是CSRF CSRF, Cross Site Request Forgery, 跨站点伪造请求.举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果 某个用户已经登录到 ...

随机推荐

  1. 重新部署mysql遇到的问题

    Windows 2008 Server R2 MySql: 5.7 下载Mysql. 配置mysql环境变量 注册mysql服务.(mysqld install) 移除注册,sc delete mys ...

  2. 使用laravel的Command实现搜索引擎索引和模板的建立

    创建command,初始化es 创建成功后,可通过php artisan 查看到 php artisan make:command ESInit 安装guzzle composer require g ...

  3. UVA 1175 Ladies' Choice 女士的选择(稳定婚姻问题,GS算法)

    题意: 给出每个男的心目中的女神排序,给出每个女的心目中的男神排序,即两个n*n的矩阵,一旦任意两个非舞伴的男女同学觉得对方都比现任舞伴要好,他们就会抛弃舞伴而在一起.为了杜绝这种现象,求每个男的最后 ...

  4. python的特殊数字类型(无穷大、无穷小等)

    float('inf') 表示正无穷 -float('inf') 或 float('-inf') 表示负无穷 其中,inf 均可以写成 Inf 起步python中整型不用担心溢出,因为python理论 ...

  5. HashMap Hashtable TreeMap LinkedHashMap 分析

    首先对hash的了解:就是关键字,和数据建立关系的映射. hash常用算法:假设我们中的字符有相应的内部编码,当然在实际过程中,我们不可能将所有的编码当做hash值. 平方取中法,将所得的内部编码平方 ...

  6. vue 组件名和方法名 重名了,报function错误

    vue 组件名和方法名 重名了,报function错误

  7. 关于js中的then(盗)

    then()相关的东西包括但不限于:promise,thien.js 虽然还没彻底搞清楚这些个玩意儿,但是  现在知道了  then()是干嘛的了 最主要的,是解决了异步方法立刻返回的问题  这个特性 ...

  8. Ioc 之 Unity的依赖注入

    Unity是微软官方提供的一个Ioc容器,用来实现依赖注入,减少代码之间的耦合程度.使用Unity实现Ioc方式有两种,一种是使用代码方式实现,一种是利用配置文件来实现. 我们先来看一下代码方式是如何 ...

  9. 阿里云人脸比对API封装

    这是根据封装是根据阿里云官方给的Demo进行修改的,当时是因为编写微信小程序云函数需要使用到阿里云人脸比对接口,才对其进行封装的. 记录下来,方便下次使用. 复制下来可以直接使用. 用到的依赖如下: ...

  10. 自己封装一个readline函数实现服务器客户端回射

    实现的功能:一次只能读取一行,客户端输入之后,一回车,马上字符串传到服务器端并显示在终端,然后服务器端将字符串又传回给客户端. 服务器端可以接收多个客户端的连接请求,并fork一个子进程来进行服务. ...