今日内容

csrf跨站请求伪造

钓鱼网站:模仿一个正规的网站 让用户在该网站上做操作 但是操作的结果会影响到用户正常的网站账户,但是其中有一些猫腻

eg:英语四六级考试需要网上先缴费,但是你会发现卡里的钱扣了但是却交到了一个莫名其妙的账户,并不是真正的四六级官方账户

模拟钓鱼网站转账案例

真网站:

	<h1>真网站</h1>

<form action="" method="post">

    <p>用户名:

        <input type="text" name="username">

    </p>

    <p>转账人姓名

        <input type="text" name="target_name">

    </p>

    <p>转账金额

        <input type="text" name="money">

    </p>

        <input type="submit">

</form>

假网站:内部隐藏标签

	<form action="http://127.0.0.1:8000/transfer/" method="post">

    <p>用户名:

        <input type="text" name="username">

    </p>

    <p>转账人姓名

        <input type="text" >

        <input type="text" name="target_name" value="日日" style="display: none">

    </p>

    <p>转账金额

        <input type="text" name="money">

    </p>

        <input type="submit">

</form>

csrf校验策略

再提交数据的位置添加唯一标识

1.form表单csrf策略

	form表单内部添加 {% csrf_token %}

2.ajax请求csrf策略

	// 方式1:自己动手取值 较为繁琐  			{#data{'csrfmiddlewaretoken':$('input[name="csrfmiddlewaretoken"]').val()},#}

   // 方式2:利用模板语法自动获取(一定要用引号引起来)

{#data{'csrfmiddlewaretoken':'{{csrf_token}}','username':'jason'},#}

   // 方式3:直接引入一个js脚本即可(官网提供的)

 	参考:https://www.cnblogs.com/Dominic-Ji/p/9234099.html

csrf相关装饰器

from django.views.decorators.csrf import csrf_exempt,csrf_protect #导入模块

csrf_exemp		#整个django项目都校验csrf  某个视图函数/类不需要进行csrf校验

csrf_protect	#整个django项目都不校验csrf 某个视图类函数/类需要进行csrf校验

FBV:

#FBV使用直接加就行 与正常函数一直

@csrf_exempt

def index(request):

    pass

"""把csrf_exempt装饰器直接加到index函数中,使该函数不需要经过csrf验证(配置文件开启csrf验证)

CBV:

方式1:单独生效

	from django.utils.decorators import method_decorator #导入模块

    class MyView(views.View):

    @method_decorator(csrf_protect)

    def post(self,request):

        return HttpResponse('from cbv post view')

'''在函数上面添加装饰器 在括号里面填写装饰器的名字 '''

方式2:单独生效

@method_decorator(csrf_protect,name='post')

class MyView(views.View):

    def post(self,request):

        return HttpResponse('from cbv post view')

'''在类的上面添加装饰器 括号里写装饰器的名字 和 想要添加装饰器的函数名'''   

方式3:全局有效

	class MyView(views.View):

    @method_decorator(csrf_protect)

    def dispatch(self, request, *args, **kwargs):

        return super().dispatch(request,*args,**kwargs)

    def post(self,request):

        return HttpResponse('from cbv post view')

'''在dispatch方法上面加 修改全局'''

注意:装饰器>>>:csrf_exempt特殊

    只有在dispatch方法上添加 才生效

auth认证模块

前戏:django自带一个admin路由 但是需要我们提供管理员账号和密码

如果想要使用admin后台管理 需要先创建表 然后创建管理员账号

直接执行数据库迁移命令即可产生默认的auth_user表 该表就是admin后台管理默认的认证表

创建超级管理员

createsuperuser

auth认证相关模块及操作

用户注册:

from django.contrib.auth.models import User

def register_func(request):

    if request.method == 'POST':

        username = request.POST.get('username')

        password = request.POST.get('password')

        # 校验用户名是否已存在

        res = User.objects.filter(username=username)

        if res:

            return HttpResponse('用户名已存在')

        # 注册该用户(不能自己创建 因为密码加密无法实现)

        User.objects.create_user(username=username, password=password)

    return render(request, 'register.html')

'''

注意:创建用户的时候不要再用create方法 用create_user 可以将密码加密

'''

用户登录:

def login_func(request):

    if request.method == 'POST':

        username = request.POST.get('username')

        password = request.POST.get('password')

        #校验用户名和密码是否正确(自己无法比对密码 返回一个用户对象

        res=auth.authenticate(request,username=username,password=password)

        if res :

            #用户登陆成功 返回一个凭证

            auth.login(request,res) #自动操作

            return HttpResponse('登陆成功')

    return render(request,'login.html')

'''

获取到用户名和密码之后要进行比对

自己无法比对密码 用到auth模块  返回的是一个用户对象

保存session 用auth模块可以自动操作django_session表

'''

判断用户是否登录:

request.user.is_authenticated

获取登录用户对象数据:

request.uesr

校验用户是否登录装饰器:

from django.contrib.auth.decorators import login_required

@login_required(login_url = '/login/')		局部配置

配置文件 LOGIN_URL = '/login/' 				  全局配置

校验原密码是否正确:

request.user.check_password(原密码)

修改密码:

request.user.set_password(新密码)

request.user.save()

退出登录:

auth.logout(request)

自动操作session

扩展auth_user表

还想使用auth模块的功能 并且又想扩展auth_user表的字段

思路1:一对一字段关联

思路2:替换auth_user表

	步骤1:模型层编写模型类继承AbstractUser

   		from django.contrib.auth.models import AbstractUser

       class UserInfo(AbstractUser):

        # 填写AbstractUser表中没有的字段

        phone = models.BigIntegerField()

        desc = models.TextField()

 	步骤2:一定要在配置文件中声明替换关系

        AUTH_USER_MODEL = 'app01.UserInfo'

	ps:替换还有一个前提 就是数据库迁移没有执行过(auth相关表没有创建

csrf跨站请求伪造、csrf校验策略、csrf相关装饰器、auth认证模块、auth认证相关模块及操作、扩展auth_user表的更多相关文章

  1. 12月23日内容总结——csrf跨站请求伪造、校验策略、相关装饰器,auth认证模块及相关操作,拓展auth_user表

    目录 一.csrf跨站请求伪造 概念引入 概念讲解 二.csrf校验策略 概念讲解 form表单操作csrf策略 ajax请求csrf策略 三.csrf相关装饰器 四.auth认证模块 五.auth认 ...

  2. Django框架:13、csrf跨站请求伪造、auth认证模块及相关用法

    Django框架 目录 Django框架 一.csrf跨站请求伪造 1.简介 2.csrf校验策略 form表单csrf策略 ajax请求csrf策略 3.csrf相关装饰器 FBV添加装饰器方式 C ...

  3. Django框架(十二)-- 中间件、CSRF跨站请求伪造

    中间件 一.什么是中间件 请求的时候需要先经过中间件才能到达django后端(urls,views,templates,models) 响应的时候也需要经过中间件才能到达web服务网关接口 djang ...

  4. 什么是CSRF跨站请求伪造?(from表单效验csrf-ajdax效验csrf-Ajax设置csrf-CBV装饰器验证csrf)

    目录 一:csrf跨站请求伪造 1.什么是CSRF? 2.CSRF攻击案例(钓鱼网站) 3.钓鱼网站 内部原理 4.CSRF原理(钓鱼网站内部本质) 5.从上图可以看出,要完成一次CSRF攻击,受害者 ...

  5. SpringSecurity原理解析以及CSRF跨站请求伪造攻击

    SpringSecurity SpringSecurity是一个基于Spring开发的非常强大的权限验证框架,其核心功能包括: 认证 (用户登录) 授权 (此用户能够做哪些事情) 攻击防护 (防止伪造 ...

  6. Django中的CSRF(跨站请求伪造)

    Django中的CSRF(跨站请求伪造) Django CSRF  什么是CSFR 即跨站请求伪装,就是通常所说的钓鱼网站. 钓鱼网站的页面和正经网站的页面对浏览器来说有什么区别? (页面是怎么来的? ...

  7. Web框架之Django_09 重要组件(Django中间件、csrf跨站请求伪造)

    摘要 Django中间件 csrf跨站请求伪造 一.Django中间件: 什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子.它是一个轻量.低级别的插件系统,用于 ...

  8. Web框架之Django重要组件(Django中间件、csrf跨站请求伪造)

    Web框架之Django_09 重要组件(Django中间件.csrf跨站请求伪造)   摘要 Django中间件 csrf跨站请求伪造 一.Django中间件: 什么是中间件? 官方的说法:中间件是 ...

  9. Django框架(十六)-- 中间件、CSRF跨站请求伪造

    一.什么是中间件 中间件是介于request与response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出 二.中间件的作用 如果你想修改请求,例如被传送到view ...

随机推荐

  1. 去除router-link中的下划线

    文章目录 1.设置router-link的样式 2.效果展示 1.设置router-link的样式 text-decoration: none; 2.效果展示

  2. MasaFramework -- 缓存入门与规则配置

    概念 什么是缓存,在项目中,为了提高数据的读取速度,我们会对不经常变更但访问频繁的数据做缓存处理,我们常用的缓存有: 本地缓存 内存缓存:IMemoryCache 分布式缓存 Redis: Stack ...

  3. 知识图谱顶会论文(ACL-2022) ACL-SimKGC:基于PLM的简单对比KGC

    12.(2022.5.4)ACL-SimKGC:基于PLM的简单对比KGC 12.(2022.5.4)ACL-SimKGC:基于PLM的简单对比KGC 摘要 1.引言 2.相关工作 2.1 知识图补全 ...

  4. 二、python基本数据类型

    一. 字面量 代码中,被写在代码中的固定的值,称之为字面量 Python常用6种值(数据)类型 字符串(string) :又称文本,是由任意数量的字符如中文.英文.各类符号.数字等组成.所以叫做字符的 ...

  5. Jenkins用户管理

    用户注册和权限管理介绍. 1. 用户注册 进入[系统管理]-[全局安全配置],进行配置: 1.1 安全域 选择[Jenkins专有用户数据库],勾选[允许用户注册],随后[保存] 1.2 用户注册 在 ...

  6. spring源码解析(一) 环境搭建(各种坑的解决办法)

    上次搭建spring源码的环境还是两年前,依稀记得那时候也是一顿折腾,奈何当时没有记录,导致两年后的今天把坑重踩了一遍,还遇到了新的坑,真是欲哭无泪;为了以后类似的事情不再发生,这次写下这篇博文来必坑 ...

  7. perl中 use strict会出现“requires explicit package name”错误

    转载 perl中use strict的用法 如果你使用 use strict 的话,它会强迫你用 my 声明变量,否则将会报上述错误.

  8. CentOS下一些软件的安装

    Git # 参数 -y 表示yes,不用询问直接安装 yum -y install git # 第一次安装需要一些配置 git config --global user.name "Your ...

  9. 视觉享受,兼顾人文观感和几何特征的字体「GitHub 热点速览 v.22.46」

    GitHub 上开源的字体不在少数,但是支持汉字以及其他非英文语言的字体少之又少,记得上一个字体还是 霞鹜文楷,本周 B 站知名设计 UP 主开源了的得意黑体在人文观感和几何特征之间找到了美的平衡. ...

  10. lauyi渲染

    下拉框 <div class="layui-form-item x-city" id="start"> <label class=" ...