csrf跨站请求伪造

钓鱼网站:模仿一个正规的网站 让用户在该网站上做操作 但是操作的结果会影响到用户正常的网站账户 但是其中有一些猫腻

    eg:英语四六级考试需要网上先缴费 但是你会发现卡里的钱扣了但是却交到了一个莫名其妙的账户 并不是真正的四六级官方账户

模拟钓鱼网站案例:转账案例

	内部隐藏标签

思考:如何区分真假网站页面发送的请求

csrf校验策略

在提交数据的位置添加唯一标识

1.form表单csrf策略

   form表单内部添加{% csrf_token %}

2.ajax请求csrf策略

<script src="/static/myjs.js"></script>

<script>

    $('#d1').click(function(){

        $.ajax({

            url:'',

            type:'post',

            // 方式1:自己动手取值 较为繁琐

            {#data:{'csrfmiddlewaretoken':$('input[name="csrfmiddlewaretoken"]').val()},#}

            // 方式2:利用模板语法自动获取(一定要引号引起来)

            {#data:{'csrfmiddlewaretoken':'{{ csrf_token  }}','username':'jason'},#}

            // 方式3:引用一个js脚本(官方提供)

            data:{},

            success:function(args){

            }

        })

    })

</script>

参考:https://www.cnblogs.com/Dominic-Ji/p/9234099.html

csrf相关装饰器

整个django项目都校验csrf但是某些个视图函数\类不想校验

整个django项目都不校验csrf 但是某些个视图函数\类需要校验

FBV添加装饰器的方式(与正常函数添加装饰器一致)

from django.views.decorators.csrf import csrf_exempt,csrf_protect

# @csrf_exempt

@csrf_protect

def transfer_func(request):pass

CBV添加装饰器的方式(与正常情况不一样 需要注意)

主要有三种方式(这三种方式都在配置里面全局csrf校验开着或者不开的情况下)

from django import views

from django.utils.decorators import method_decorator

# @method_decorator(csrf_protect,name='post') # 方式2 单独生效

# @method_decorator(csrf_exempt,name='post') # 方式2 针对csrf_exempt不生效

class MyViews(views.View):

    # @method_decorator(csrf_protect)  # 方式3 整个类中有效

    @method_decorator(csrf_exempt)  # 方式3 针对csrf_exempt生效

    def dispatch(self, request, *args, **kwargs):

        return super().dispatch(request,*args,**kwargs)

    # @method_decorator(csrf_protect)  # 方式1 单独生效

    # @method_decorator(csrf_exempt)  #  方式1   针对csrf_exempt不生效

    def post(self,request):

        return HttpResponse('from cbv post view')

注意有一个装饰器是特例只能有一种添加方式>>>:csrf_exempt

    只有在dispathch方法添加才会生效

auth认证模块

前夕:django自带一个admin路由 但是需要我们提供管理员账户和密码

如果想要使用admin后台管理  需要先创建表 然后创建管理员账号

直接执行数据库迁移命令即可产生默认的auth_user表 该表就是admin后台管理默认的认证表

1.创建超级管理员

    python38 manage.py createsuperuser

基于auth_user表编写用户相关的各项功能

     登录、校验用户是否登录、修改密码、注销登录等

auth认证相关模块及操作

from django.contrib import auth

from django.contrib.auth.models import User

1.用户注册功能

def register_func(request):

    if request.method == 'POST':

        username = request.POST.get('username')

        password = request.POST.get('password')

        # 1.校验用户是否存在

        # res = auth.authenticate(request,username=username,此处缺密码)  必须把密码也传进去

        # print(res)

        res = User.objects.filter(username=username)

        if res:

            return HttpResponse('用户名已存在')

        # 2.注册该用户

        # User.objects.create(username=username,password=password)  # create方法不可以使用 密码不加密

        User.objects.create_user(username=username,password=password) # 正常创建 对密码加密

    return render(request,'registerPage.html')

2.判断用户名和密码是否正确

def login_func(request):

    print(request.user)

    print(request.user.is_authenticated)  # 判断当前用户对象是否已登录

    if request.method == 'POST':

        username = request.POST.get('username')

        password = request.POST.get('password')

        # 1.校验用户名和密码是否正确(不分开校验) 自己无法比对密码 必须要使用auth模块提供的方法才可以

        user_obj = auth.authenticate(request,username=username,password=password) # 得到用户对象

        # print(user_obj.password)

        if user_obj:

            # 2.用户登录成功(返回给客户端登录成功的凭证、令牌、随机字符串)

            auth.login(request,user_obj)   # 自己操作django_session表

            '''

            当执行完上述的操作之后我们就可以通过request.user直接获取到当前登录的用户对象数据

            '''

            return HttpResponse('登录成功!!!')

    return render(request,'loginPage.html')

3.判断用户是否登录

	request.user.is_authenticated

4.获取登录用户对象数据

	request.user

5.校验用户是否登录装饰器

from django.contrib.auth.decorators import login_required

# @login_required(login_url='/login/')  # 可以明确指定用户没有登录之后跳转到那个地址 局部配置

@login_required  # 在settings添加 LOGIN_URL = '/login/'    全局配置

def index_func(request):

    return HttpResponse('index页面,只有登录的用户才可以查看')

6.校验原密码是否正确

request.user.check_password(原密码)

7.修改密码

request.user.set_password(新密码)

request.user.save() #  一定要保存

8.退出登录

auth.logout(request)

扩展auth_user表

还想使用auth模块的功能 并且又想扩展auth_user表的字段

思路1:一对一字段关联

思路2:替换auth_user表

    步骤1:模型层编写模型类继承AbstractUser

  from django.contrib.auth.models import AbstractUser

class UserInfo(AbstractUser):

    # 填写AbstractUser表中没有的字段

    phone = models.BigIntegerField()

    desc = models.TextField()

步骤2:一定要在配置文件中声明替换关系

   AUTH_USER_MODEL = 'app01.UserInfo'

ps:替换还有一个前提 就是数据库迁移没有执行过(需要一个新库,就是auth相关表没有创建)

python之路56 dajngo最后一天 csrf跨站请求 auth模块登录注册方法的更多相关文章

  1. python 全栈开发,Day87(ajax登录示例,CSRF跨站请求伪造,Django的中间件,自定义分页)

    一.ajax登录示例 新建项目login_ajax 修改urls.py,增加路径 from app01 import views urlpatterns = [ path('admin/', admi ...

  2. python CSRF跨站请求伪造

    python CSRF跨站请求伪造 <!DOCTYPE html> <html lang="en"> <head> <meta chars ...

  3. [Django高级之中间件、csrf跨站请求伪造]

    [Django高级之中间件.csrf跨站请求伪造] Django中间件 什么是中间件? Middleware is a framework of hooks into Django's request ...

  4. Django CBV装饰器 中间件 auth模块 CSRF跨站请求

    CBV添加装饰器 给CBV添加装饰器有三种方法,三种方法都需要导入模块: from django.utils.decorators import method_decorator 第一种直接在方法上面 ...

  5. 什么是CSRF跨站请求伪造?(from表单效验csrf-ajdax效验csrf-Ajax设置csrf-CBV装饰器验证csrf)

    目录 一:csrf跨站请求伪造 1.什么是CSRF? 2.CSRF攻击案例(钓鱼网站) 3.钓鱼网站 内部原理 4.CSRF原理(钓鱼网站内部本质) 5.从上图可以看出,要完成一次CSRF攻击,受害者 ...

  6. Django中间件、csrf跨站请求、csrf装饰器、基于django中间件学习编程思想

    django中间件 中间件介绍 什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子.它是一个轻量.低级别的插件系统,用于在全局范围内改变Django的输入和输出. ...

  7. Django之CSRF跨站请求伪造(老掉牙的钓鱼网站模拟)

    首先这是一个测试的代码 请先在setting页面进行下面操作 注释完成后,开始模拟钓鱼网站的跨站请求伪造操作: 前端代码: <!DOCTYPE html> <html lang=&q ...

  8. ajax向Django前后端提交请求和CSRF跨站请求伪造

    1.ajax登录示例 urls.py from django.conf.urls import url from django.contrib import admin from app01 impo ...

  9. 第三百一十五节,Django框架,CSRF跨站请求伪造

    第三百一十五节,Django框架,CSRF跨站请求伪造  全局CSRF 如果要启用防止CSRF跨站请求伪造,就需要在中间件开启CSRF #中间件 MIDDLEWARE = [ 'django.midd ...

  10. Django中的CSRF(跨站请求伪造)

    Django中的CSRF(跨站请求伪造) Django CSRF  什么是CSFR 即跨站请求伪装,就是通常所说的钓鱼网站. 钓鱼网站的页面和正经网站的页面对浏览器来说有什么区别? (页面是怎么来的? ...

随机推荐

  1. 动词时态=>3.现在时态和过去时态构成详解

    现在时态构成详解 一般现在时态 最容易构成的时态,直接加动词原形(字典当中显示的词条)就可以 第三人称"单数"的话需要加s 这是最容易出错的时态:容易将 现在的时间,和一般的状态: ...

  2. 七、Ajax请求

    七.Ajax请求 客户端(浏览器)向服务端发起请求的形式: 地址栏:GET 超链接标签:GET form表单:GET或POST Ajax(重要):GET或POST或PUT或DELETE AJAX(As ...

  3. Pthread 并发编程(一)——深入剖析线程基本元素和状态

    Pthread 并发编程(一)--深入剖析线程基本元素和状态 前言 在本篇文章当中讲主要给大家介绍 pthread 并发编程当中关于线程的基础概念,并且深入剖析进程的相关属性和设置,以及线程在内存当中 ...

  4. Excel常用需求

    常用数据统计格式 外列表套内列表 [['name1','age1'],['name2','age2'],['name3','age3']] 外列表套内字典 [{'name':'xie','score' ...

  5. js高级基础部分

    基于尚硅谷的尚硅谷JavaScript高级教程提供笔记撰写,加入一些个人理解 github源码 博客下载 数据类型的分类和判断 主要问题 分类 基本(值)类型 Number ----- 任意数值 -- ...

  6. gdb不能使用mac

    先说问题:1.gdb不能使用,重新用homebrew install 了gdb 2.brew装的gdb可以用了,但是等start调试的时候报这些错误:        dyld: Library not ...

  7. 1759E(方案枚举)

    题目链接 题目大意: 给你n个数(n个宇航员对应的能量值) 一个h ,h表示机器人当前的能量值.机器人拥有2中绿色的药剂,一瓶蓝色的药剂.其中绿色的药剂可以使机器人的能量值变为现在的2倍(2-> ...

  8. 基于python的数学建模---二维插值的三维图

    import numpy as np from mpl_toolkits.mplot3d import Axes3D import matplotlib as mpl from scipy impor ...

  9. i春秋Fuzz

    点开只有三个单词plz fuzz parameter 大概意思就是让我们疯狂尝试参数... 我们通过url尝试传入参数 ?user=123 ?name=123 ?username=123 ?id=12 ...

  10. i春秋破译

    点开题目就是一段密文 TW5650Y - 0TS UZ50S S0V LZW UZ50WKW 9505KL4G 1X WVMUSL510 S001M0UWV 910VSG S0 WFLW0K510 1 ...