csrf跨站请求伪造

钓鱼网站:模仿一个正规的网站 让用户在该网站上做操作 但是操作的结果会影响到用户正常的网站账户 但是其中有一些猫腻

    eg:英语四六级考试需要网上先缴费 但是你会发现卡里的钱扣了但是却交到了一个莫名其妙的账户 并不是真正的四六级官方账户

模拟钓鱼网站案例:转账案例

	内部隐藏标签

思考:如何区分真假网站页面发送的请求

csrf校验策略

在提交数据的位置添加唯一标识

1.form表单csrf策略

   form表单内部添加{% csrf_token %}

2.ajax请求csrf策略

<script src="/static/myjs.js"></script>

<script>

    $('#d1').click(function(){

        $.ajax({

            url:'',

            type:'post',

            // 方式1:自己动手取值 较为繁琐

            {#data:{'csrfmiddlewaretoken':$('input[name="csrfmiddlewaretoken"]').val()},#}

            // 方式2:利用模板语法自动获取(一定要引号引起来)

            {#data:{'csrfmiddlewaretoken':'{{ csrf_token  }}','username':'jason'},#}

            // 方式3:引用一个js脚本(官方提供)

            data:{},

            success:function(args){

            }

        })

    })

</script>

参考:https://www.cnblogs.com/Dominic-Ji/p/9234099.html

csrf相关装饰器

整个django项目都校验csrf但是某些个视图函数\类不想校验

整个django项目都不校验csrf 但是某些个视图函数\类需要校验

FBV添加装饰器的方式(与正常函数添加装饰器一致)

from django.views.decorators.csrf import csrf_exempt,csrf_protect

# @csrf_exempt

@csrf_protect

def transfer_func(request):pass

CBV添加装饰器的方式(与正常情况不一样 需要注意)

主要有三种方式(这三种方式都在配置里面全局csrf校验开着或者不开的情况下)

from django import views

from django.utils.decorators import method_decorator

# @method_decorator(csrf_protect,name='post') # 方式2 单独生效

# @method_decorator(csrf_exempt,name='post') # 方式2 针对csrf_exempt不生效

class MyViews(views.View):

    # @method_decorator(csrf_protect)  # 方式3 整个类中有效

    @method_decorator(csrf_exempt)  # 方式3 针对csrf_exempt生效

    def dispatch(self, request, *args, **kwargs):

        return super().dispatch(request,*args,**kwargs)

    # @method_decorator(csrf_protect)  # 方式1 单独生效

    # @method_decorator(csrf_exempt)  #  方式1   针对csrf_exempt不生效

    def post(self,request):

        return HttpResponse('from cbv post view')

注意有一个装饰器是特例只能有一种添加方式>>>:csrf_exempt

    只有在dispathch方法添加才会生效

auth认证模块

前夕:django自带一个admin路由 但是需要我们提供管理员账户和密码

如果想要使用admin后台管理  需要先创建表 然后创建管理员账号

直接执行数据库迁移命令即可产生默认的auth_user表 该表就是admin后台管理默认的认证表

1.创建超级管理员

    python38 manage.py createsuperuser

基于auth_user表编写用户相关的各项功能

     登录、校验用户是否登录、修改密码、注销登录等

auth认证相关模块及操作

from django.contrib import auth

from django.contrib.auth.models import User

1.用户注册功能

def register_func(request):

    if request.method == 'POST':

        username = request.POST.get('username')

        password = request.POST.get('password')

        # 1.校验用户是否存在

        # res = auth.authenticate(request,username=username,此处缺密码)  必须把密码也传进去

        # print(res)

        res = User.objects.filter(username=username)

        if res:

            return HttpResponse('用户名已存在')

        # 2.注册该用户

        # User.objects.create(username=username,password=password)  # create方法不可以使用 密码不加密

        User.objects.create_user(username=username,password=password) # 正常创建 对密码加密

    return render(request,'registerPage.html')

2.判断用户名和密码是否正确

def login_func(request):

    print(request.user)

    print(request.user.is_authenticated)  # 判断当前用户对象是否已登录

    if request.method == 'POST':

        username = request.POST.get('username')

        password = request.POST.get('password')

        # 1.校验用户名和密码是否正确(不分开校验) 自己无法比对密码 必须要使用auth模块提供的方法才可以

        user_obj = auth.authenticate(request,username=username,password=password) # 得到用户对象

        # print(user_obj.password)

        if user_obj:

            # 2.用户登录成功(返回给客户端登录成功的凭证、令牌、随机字符串)

            auth.login(request,user_obj)   # 自己操作django_session表

            '''

            当执行完上述的操作之后我们就可以通过request.user直接获取到当前登录的用户对象数据

            '''

            return HttpResponse('登录成功!!!')

    return render(request,'loginPage.html')

3.判断用户是否登录

	request.user.is_authenticated

4.获取登录用户对象数据

	request.user

5.校验用户是否登录装饰器

from django.contrib.auth.decorators import login_required

# @login_required(login_url='/login/')  # 可以明确指定用户没有登录之后跳转到那个地址 局部配置

@login_required  # 在settings添加 LOGIN_URL = '/login/'    全局配置

def index_func(request):

    return HttpResponse('index页面,只有登录的用户才可以查看')

6.校验原密码是否正确

request.user.check_password(原密码)

7.修改密码

request.user.set_password(新密码)

request.user.save() #  一定要保存

8.退出登录

auth.logout(request)

扩展auth_user表

还想使用auth模块的功能 并且又想扩展auth_user表的字段

思路1:一对一字段关联

思路2:替换auth_user表

    步骤1:模型层编写模型类继承AbstractUser

  from django.contrib.auth.models import AbstractUser

class UserInfo(AbstractUser):

    # 填写AbstractUser表中没有的字段

    phone = models.BigIntegerField()

    desc = models.TextField()

步骤2:一定要在配置文件中声明替换关系

   AUTH_USER_MODEL = 'app01.UserInfo'

ps:替换还有一个前提 就是数据库迁移没有执行过(需要一个新库,就是auth相关表没有创建)

python之路56 dajngo最后一天 csrf跨站请求 auth模块登录注册方法的更多相关文章

  1. python 全栈开发,Day87(ajax登录示例,CSRF跨站请求伪造,Django的中间件,自定义分页)

    一.ajax登录示例 新建项目login_ajax 修改urls.py,增加路径 from app01 import views urlpatterns = [ path('admin/', admi ...

  2. python CSRF跨站请求伪造

    python CSRF跨站请求伪造 <!DOCTYPE html> <html lang="en"> <head> <meta chars ...

  3. [Django高级之中间件、csrf跨站请求伪造]

    [Django高级之中间件.csrf跨站请求伪造] Django中间件 什么是中间件? Middleware is a framework of hooks into Django's request ...

  4. Django CBV装饰器 中间件 auth模块 CSRF跨站请求

    CBV添加装饰器 给CBV添加装饰器有三种方法,三种方法都需要导入模块: from django.utils.decorators import method_decorator 第一种直接在方法上面 ...

  5. 什么是CSRF跨站请求伪造?(from表单效验csrf-ajdax效验csrf-Ajax设置csrf-CBV装饰器验证csrf)

    目录 一:csrf跨站请求伪造 1.什么是CSRF? 2.CSRF攻击案例(钓鱼网站) 3.钓鱼网站 内部原理 4.CSRF原理(钓鱼网站内部本质) 5.从上图可以看出,要完成一次CSRF攻击,受害者 ...

  6. Django中间件、csrf跨站请求、csrf装饰器、基于django中间件学习编程思想

    django中间件 中间件介绍 什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子.它是一个轻量.低级别的插件系统,用于在全局范围内改变Django的输入和输出. ...

  7. Django之CSRF跨站请求伪造(老掉牙的钓鱼网站模拟)

    首先这是一个测试的代码 请先在setting页面进行下面操作 注释完成后,开始模拟钓鱼网站的跨站请求伪造操作: 前端代码: <!DOCTYPE html> <html lang=&q ...

  8. ajax向Django前后端提交请求和CSRF跨站请求伪造

    1.ajax登录示例 urls.py from django.conf.urls import url from django.contrib import admin from app01 impo ...

  9. 第三百一十五节,Django框架,CSRF跨站请求伪造

    第三百一十五节,Django框架,CSRF跨站请求伪造  全局CSRF 如果要启用防止CSRF跨站请求伪造,就需要在中间件开启CSRF #中间件 MIDDLEWARE = [ 'django.midd ...

  10. Django中的CSRF(跨站请求伪造)

    Django中的CSRF(跨站请求伪造) Django CSRF  什么是CSFR 即跨站请求伪装,就是通常所说的钓鱼网站. 钓鱼网站的页面和正经网站的页面对浏览器来说有什么区别? (页面是怎么来的? ...

随机推荐

  1. Mysql通过Canal同步Elasticsearch

    目录 版本管理 Mysql 设置 在MySQL配置文件my.cnf设置: 检查是否开启 增加新用户: 安装 Elasticsearch es 跨域问题 目录挂载 安装 Elasticsearch-He ...

  2. python创建icon图标

    def extension_replace(path,extension): for i in range(1,len(path)): if (path[-i] == '.'): new_path = ...

  3. Spring中过滤器(Filter)和拦截器(Interceptor)的区别和联系

    在我们日常的开发中,我们经常会用到Filter和Interceptor.有时同一个功能.Filter可以做,Interceptor也可以做.有时就需要考虑使用哪一个比较好.这篇文章主要介绍一下,二者的 ...

  4. 「浙江理工大学ACM入队200题系列」问题 L: 零基础学C/C++85——完美数

    本题是浙江理工大学ACM入队200题第八套中的L题 我们先来看一下这题的题面. 题面 题目描述 任何一个自然数的约数中都有1和它本身,我们把小于它本身的因数叫做这个自然数的真约数. 如6的所有真约数是 ...

  5. Go语言核心36讲35

    到目前为止,我们已经一起学习了Go语言标准库中最重要的那几个同步工具,这包括非常经典的互斥锁.读写锁.条件变量和原子操作,以及Go语言特有的几个同步工具: sync/atomic.Value: syn ...

  6. 自学 TypeScript 第五天,手把手项目搭建 TS 篇

    前言: 昨天咱们已经把贪吃蛇的页面写好了,今天咱们来写 TS 部分 TS 我们要用面向对象的形式去编写我们的功能,所以我们要以一个功能去定义一个对象 把这个项目分成几个模块,也就是几个对象功能 Foo ...

  7. 第2-4-5章 规则引擎Drools高级语法-业务规则管理系统-组件化-中台

    目录 6. Drools高级语法 6.1 global全局变量 6.2 query查询 6.3 function函数 6.4 LHS加强 6.4.1 复合值限制in/not in 6.4.2 条件元素 ...

  8. 关于 Windows6.1-KB2999226-x64.msu 此更新不适用你的计算机解决办法

    前言 今天被这个破问题坑了很长时间,网上一大堆扯跳过那个检查,通过提取 cab 文件然后直接用命令安装,我可以明确的告诉你不是那样的解决的,因为我实际用命令装过也装不上(这里我吐槽一下,我猜你最初的问 ...

  9. MySQL数据库下载以及启动软件的详细步骤

    第一步>>>在浏览器上百度上搜索MySQL 如何判断官网?有官网两个字的或者纯英文解释的大概率就是官网 第二步>>>点击DOWNLOAWDS 第三步>> ...

  10. Servlet面试题合集

    servlet的生命周期 在创建servlet对象时,通过调用.init()方法进行初始化 通过service()方法来接收客户端的请求.根据请求方式的不同转发给对应的doGet()或doPost() ...