CSRF

1、概述

  CSRF(Cross Site Request Forgery)跨站点伪造请求,举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。

  为了避免上面情况的出现,Django引用了CSRF防护机制;Django第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 token,并把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token,这样就能避免被 CSRF 攻击。如果POST请求中没有token随机字符串,则返回403拒绝服务

  • 在返回的 HTTP 响应的 cookie 里,django 会为你添加一个 csrftoken 字段,其值为一个自动生成的 token
  • 在所有的 POST 表单时,必须包含一个 csrfmiddlewaretoken 字段 (只需要在模板里加一个 tag, django 就会自动帮你生成,见下面)
  • 在处理 POST 请求之前,django 会验证这个请求的 cookie 里的 csrftoken 字段的值和提交的表单里的 csrfmiddlewaretoken 字段的值是否一样。如果一样,则表明这是一个合法的请求,否则,这个请求可能是来自于别人的 csrf 攻击,返回 403 Forbidden。
  • 在所有 ajax POST 请求里,添加一个 X-CSRFTOKEN header,其值为 cookie 里的 csrftoken 的值

下面我们需要在settings.py中把中间件django.middleware.csrf.CsrfViewMiddleware启用:

MIDDLEWARE = [

    'django.middleware.csrf.CsrfViewMiddleware',

]

局部使用方式:

  • @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
  • @csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。

CBA中的使用方式:

from django.utils.decorators import method_decorator

class AssetView(View):

    @method_decorator(csrf_exempt)     #必须加到dispatch上,get、post上都不好使

    def dispatch(self, request, *args, **kwargs):

        return super(AssetView, self).dispatch(request, *args, **kwargs)

  

2、Form表单提交POST请求

处理文件:

from django.shortcuts import render,HttpResponse,redirect

# Create your views here.

def login(request):

    if request.method == 'GET':

        return render(request,'login.html')

    elif request.method == 'POST':

        user = request.POST.get('user')

        pwd = request.POST.get('pwd')

        if user == 'root' and pwd == "":

            # 生成随机字符串

            # 写到用户浏览器Cookie

            # 保存到Session中

            # 在随机字符串对应的字典中设置相关内容...

            request.session['username'] = user

            request.session['if_login'] = True  #可不加 直接判断username也可以

            if request.POST.get('session') == '':    #单独设置超时时间,当前session生效,不影响全局

                request.session.set_expiry(10)      #10秒

            return redirect('/index/')

        else:

            return redirect('/login/')

def index(request):

    # 获取当前用户的随机字符串

    # 根据随机字符串获取对应信息

    if request.session.get('if_login'):

        return render(request, 'index.html')

    else:

        return redirect('/login/')

views.py

login.html文件:

{# 添加{% csrf_token %} #}

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

    <form action="/login/" method="post">

        {% csrf_token %}

        <input type="text" name="user" />

        <input type="text" name="pwd" />

        <input type="checkbox" name="session" value="1"/> 保存1个月

        <input type="submit" value="提交" />

    </form>

</body>

</html>

3、Ajax提交POST请求

处理文件:

from django.shortcuts import render,HttpResponse,redirect

# Create your views here.

def login(request):

    if request.method == 'GET':

        return render(request,'login.html')

    elif request.method == 'POST':

        user = request.POST.get('user')

        pwd = request.POST.get('pwd')

        if user == 'root' and pwd == "":

            # 生成随机字符串

            # 写到用户浏览器Cookie

            # 保存到Session中

            # 在随机字符串对应的字典中设置相关内容...

            request.session['username'] = user

            request.session['if_login'] = True  #可不加 直接判断username也可以

            if request.POST.get('session') == '':    #单独设置超时时间,当前session生效,不影响全局

                request.session.set_expiry(10)      #10秒

            return redirect('/index/')

        else:

            return redirect('/login/')

def index(request):

    # 获取当前用户的随机字符串

    # 根据随机字符串获取对应信息

    if request.session.get('if_login'):

        return render(request, 'index.html')

    else:

        return redirect('/login/')

views.py

login.html文件:

{# Ajax提交时要添加headers值 #}

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

    <form action="/login/" method="post">

        {% csrf_token %}

        <input type="text" name="user" />

        <input type="text" name="pwd" />

        <input type="checkbox" name="session" value="1"/> 保存1个月

        <input id='btn' type="button" value="Ajax提交" />

    </form>

    <script src="/static/jquery-1.12.4.js"></script>

    <script src="/static/jquery.cookie.js"></script>

    <script>

        $(function () {

            $('#btn').click(function () {

                $.ajax({

                    url:'/login/',

                    type:'POST',

                    data:{'user':'root','pwd':'123'},

                    headers:{'X-CSRFtoken':$.cookie('csrftoken')},

                    success:function (arg) {

                    }

                })

            })

        })

    </script>

</body>

</html>

上面html文件点击提交后,执行成功;但是往往一个程序不止一个Ajax请求,所以我们需要对每个Ajax请求都添加headers请求头,这样未免增加很多工作量;这时就需要做全局设置,不必每个都添加请求头

{# Ajax提交时全局生效 #}

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

    <form action="/login/" method="post">

        {% csrf_token %}

        <input type="text" name="user" />

        <input type="text" name="pwd" />

        <input type="checkbox" name="session" value="1"/> 保存1个月

        <input id='btn' type="button" value="Ajax提交" />

    </form>

    <script src="/static/jquery-1.12.4.js"></script>

    <script src="/static/jquery.cookie.js"></script>

    <script>

        $(function () {

{#            全局配置,所有Ajax请求都先执行下面操作#}

            $.ajaxSetup({

                beforeSend:function (xhr,settings) {

                    xhr.setRequestHeader('X-CSRFtoken',$.cookie('csrftoken'));

                }

            });

            $('#btn').click(function () {

                $.ajax({

                    url:'/login/',

                    type:'POST',

                    data:{'user':'root','pwd':'123'},

                    success:function (arg) {

                    }

                })

            })

        })

    </script>

</body>

</html>

全局生效login.html

<!DOCTYPE html>

<html>

<head lang="en">

    <meta charset="UTF-8">

    <title></title>

</head>

<body>

    {% csrf_token %}

    <input type="button" onclick="Do();"  value="Do it"/>

    <script src="/static/plugin/jquery/jquery-1.8.0.js"></script>

    <script src="/static/plugin/jquery/jquery.cookie.js"></script>

    <script type="text/javascript">

        var csrftoken = $.cookie('csrftoken');

        function csrfSafeMethod(method) {

            // these HTTP methods do not require CSRF protection

            return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));

        }

        $.ajaxSetup({

            beforeSend: function(xhr, settings) {

                if (!csrfSafeMethod(settings.type) && !this.crossDomain) {

                    xhr.setRequestHeader("X-CSRFToken", csrftoken);

                }

            }

        });

        function Do(){

            $.ajax({

                url:"/app01/test/",

                data:{id:1},

                type:'POST',

                success:function(data){

                    console.log(data);

                }

            });

        }

    </script>

</body>

</html>

官方使用示例.html

中间件

1、概述

  django 中的中间件(middleware),在django中,中间件其实就是一个类,在请求到来和结束后,django会根据自己的规则在合适的时机执行中间件中相应的方法;在django项目的settings模块中,有一个 MIDDLEWARE 变量,其中每一个元素就是一个中间件,如下:

MIDDLEWARE = [

    'django.middleware.security.SecurityMiddleware',

    'django.contrib.sessions.middleware.SessionMiddleware',

    'django.middleware.common.CommonMiddleware',

    'django.middleware.csrf.CsrfViewMiddleware',

    'django.contrib.auth.middleware.AuthenticationMiddleware',

    'django.contrib.messages.middleware.MessageMiddleware',

    'django.middleware.clickjacking.XFrameOptionsMiddleware',

]

中间件中可以定义四个方法,分别是:

  • process_request(self,request)      请求来时执行,不写时直接跳过,执行下一个中间件;当有return HttpResonse时,下面中间件不再执行
  • process_view(self, request, callback, callback_args, callback_kwargs)   先执行process_request,执行完后,再从起始执行proces_view
  • process_template_response(self,request,response)  如果Views中的函数返回的对象中,具有render方法,此方法执行
  • process_exception(self, request, exception)             异常触发执行,当views.py函数执行出错后,此方法执行;出错时,最低层的exception优先级最高,执行最近的一个,然后执行respnse方法
  • process_response(self, request, response)      请求返回时执行,不写时直接跳过,执行下一个中间件;当有return HttpResonse时,会替换原数据

以上方法的返回值可以是None和HttpResonse对象,如果是None,则继续按照django定义的规则向下执行,如果是HttpResonse对象,则直接将该对象返回给用户

注:Django版本1.10之后 直接执行同级的process_response,而不是从最低层process_response开始执行

2、自定义中间件

Django主目录下创建middleware目录(名字任意),在目录下创建m.py文件

① process_request、process_response

在文件中自定义中间件类:

from django.utils.deprecation import MiddlewareMixin

from django.shortcuts import HttpResponse

class Row1(MiddlewareMixin):

    def process_request(self,request):

        print("王森1")

        # return HttpResponse("DDDD")

    def process_response(self,request,response):

        print("扛把子1")

        return response

class Row2(MiddlewareMixin):

    def process_request(self,request):

        print("王森2")

    def process_response(self, request, response):

        print("扛把子3")

        return response

class Row3(MiddlewareMixin):

    def process_request(self,request):

        print("王森3")

    def process_response(self, request, response):

        print("扛把子3")

        return response

在settings文件中注册中间件:

from django.middleware.csrf import  CsrfViewMiddleware

MIDDLEWARE = [

    'django.middleware.security.SecurityMiddleware',

    'django.contrib.sessions.middleware.SessionMiddleware',

    'django.middleware.common.CommonMiddleware',

    'django.middleware.csrf.CsrfViewMiddleware',

    'django.contrib.auth.middleware.AuthenticationMiddleware',

    'django.contrib.messages.middleware.MessageMiddleware',

    'django.middleware.clickjacking.XFrameOptionsMiddleware',

    'middleware.m.Row1',

    'middleware.m.Row2',

    'middleware.m.Row3',

执行打印: 

王森1

王森2

王森3

走你

扛把子3

扛把子3

扛把子1

打印

② process_view

在文件中自定义中间件类:

from django.utils.deprecation import MiddlewareMixin

from django.shortcuts import HttpResponse

class Row1(MiddlewareMixin):

    def process_request(self,request):

        print("王森1")

    def process_view(self, request, view_func, view_func_args, view_func_kwargs):

        print("James1")

    def process_response(self,request,response):

        print("扛把子1")

        return response

class Row2(MiddlewareMixin):

    def process_request(self,request):

        print("王森2")

    def process_view(self, request, view_func, view_func_args, view_func_kwargs):

        print("James2")

    def process_response(self, request, response):

        print("扛把子3")

        return response

class Row3(MiddlewareMixin):

    def process_request(self,request):

        print("王森3")

    def process_view(self, request, view_func, view_func_args, view_func_kwargs):

        print("James3")

    def process_response(self, request, response):

        print("扛把子3")

        return response

执行打印:

王森1

王森2

王森3

James1

James2

James3

走你

扛把子3

扛把子3

扛把子1

打印

《第二十二章》

 

Python开发【Django】:中间件、CSRF的更多相关文章

  1. 【python】-- Django 中间件、缓存、信号

    Django  中间件.缓存.信号 一. Django  中间件 django 中的中间件(middleware),在django中,中间件其实就是一个类,在请求到来和结束后,django会根据自己的 ...

  2. django中间件 csrf auth认证

    django中间件 能做全局访问频率限制,身份校验,黑名单,白名单 用法: 新建一个文件夹,文件夹新建一个py文件,文件中写如下代码 注意点:你写的类必须继续MiddlewareMixin from ...

  3. $Django 中间件 csrf

     中间件  -中间件是什么?请求和响应之间的一道屏障  -中间件作用:控制请求和响应  -django中内置几个中间件   process_request(self,request)   proces ...

  4. django CBV装饰器 自定义django中间件 csrf跨站请求伪造 auth认证模块

    CBV加装饰器 第一种 @method_decorator(装饰器) 加在get上 第二种 @method_decorator(login_auth,name='get') 加在类上 第三种 @met ...

  5. python中django中间件

    一.中间件 所谓的中间件,就是存在socket和视图函数中间的一种相当于过滤的机构. 中间件共分为: (1)process_request(self,request) (2)process_view( ...

  6. python学习-- Django Ajax CSRF 认证

    使用 jQuery 的 ajax 或者 post 之前 加入这个 js 代码:http://www.ziqiangxuetang.com/media/django/csrf.js /*======== ...

  7. python列举django中间件的5个请求方法

    process——request:请求进来时,权限认证. process——view:路由匹配之后,能够得到试图的试图函数. process——exceptions:异常是执行. process——t ...

  8. Web框架之Django_09 重要组件(Django中间件、csrf跨站请求伪造)

    摘要 Django中间件 csrf跨站请求伪造 一.Django中间件: 什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子.它是一个轻量.低级别的插件系统,用于 ...

  9. Web框架之Django重要组件(Django中间件、csrf跨站请求伪造)

    Web框架之Django_09 重要组件(Django中间件.csrf跨站请求伪造)   摘要 Django中间件 csrf跨站请求伪造 一.Django中间件: 什么是中间件? 官方的说法:中间件是 ...

随机推荐

  1. eclipse (ADT) svn插件 过滤上传的 文件 文件夹 一劳永逸

    其实很简单哈,过滤的有三种类型,1.文件.2.文件夹.3.android的target 在ADT中 window->preferences-> 会打开如下界面 ignore就是忽视的意思 ...

  2. tagVARIANT、VARIANT、_variant_t和COleVariant

    tagVARIANT是一个结构体struct:  C++ Code: tagVARIANT 123456789101112131415161718192021222324252627282930313 ...

  3. mysql通过mysql_install_db初始化数据目录时使用--user选项的作用是什么?

    需求描述: mysql数据库通过mysql_install_db初始化数据目录时,使用了--user选项,这里记录下该参数的作用 参数解释: 1.--user的作用:就是以哪个操作系统用户来执行mys ...

  4. 有人问thinkphp的标签解析的时候为什么出现标签内内容空格丢失

    举例如下 该代码被解析后 变为 并不是  active li bg  这里面的空格没有了 我试了多次,确实是这样,后来想了想 应该是框架解析的时候自动处理了,然后找了找框架代码 Template.cl ...

  5. ftp简单命令

    1.连接ftp ftp 192.168.10.15 进去后输入用户名 ,然后再输入密码,就这样登陆成功了,你会看到 ftp> 2.进入ftp后,你对目录需要切换操作.和linux一样的命令.cd ...

  6. 在navicat中新建数据库

    前言: 在本地新建一个名为editor的数据库: 过程: 1.: 2.选择:utf8mb4 -- UTF-8 Unicode字符集,原因在于:utf8mb4兼容utf8,且比utf8能表示更多的字符. ...

  7. Xcode 利用VVDocumenter 生成注释 通过设置 再生成注释文档

    在写代码的时候,如果按照一定的规范在头文件里写上注释的话, 就可以利用Xcode的文档自动输出功能生成一份完整的HTML项目文档. 生成的格式和Apple Developer网站上的API文档几乎是一 ...

  8. Swift-'!','?'用法

    ///'!','?','as'的用法 ///'!'与'?'用法与可选类型(Optional) ///首先要了解Optional类型包括什么, ///Optional类型的值包括: 1.nil 2.值 ...

  9. JDBC处理文本和二进制文件

    JDBC支持文本(CLOB)和二进制(BLOB)文件的处理,比如要往数据库里存取文章或者图片.这都是用流的思想来解决的. 来两个Demo看看JDBC是怎么操作文本和二进制文件的. CLOB: pack ...

  10. Android MemInfo 各项的意义(转)

    http://gdgzzch.blog.163.com/blog/static/37640452201371483147573/ http://stackoverflow.com/questions/ ...