中间件,csrf

于 2022-12-11 20:28:55 发布
阅读量195 收藏
点赞数
分类专栏: Django 文章标签: 中间件 csrf 前端 django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ITlearner007/article/details/128277436
版权

目录

-中间件

--介绍

--自定义中间件

---方法

---process_request(self, request)

---process_response(self, request, response)

---process_view(self, request, view_func, view_args, view_kwargs)

---process_template_response(self, request, response)

---process_exception(self, request, exception)

-CSRF校验

--简介

--form表单符合csrf校验

--Ajax符合csrf校验

--csrf装饰器添加方法

---CBV方式添加csrf装饰器

-中间件

--介绍

中间件是Django的门卫(Django生命周期流程图),用于在全局范围内改变Django的输入和输出

官方介绍是:中间件是一个用来处理Django的请求和响应的框架级别的钩子,是一个轻量、低级别的插件系统,每个中间件负责一些特定的功能

1、请求来的时候需要经过中间件的层层逐次(正向)检查才能进入Django后端

2、请求走的时候需要经过中间件的层层逐次(反向)检查才能返回给浏览器

Django自带7个中间件,新建一个Django项目时,在settings.py中:

MIDDLEWARE = [
	'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',	               
    'django.middleware.common.CommonMiddleware',
	'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

MIDDLEWARE配置是一个有序列表, 列表中是一个个字符串,但其实是一个个类的导入

eg:

        from django.middleware.security import SecurityMiddleware

--自定义中间件

除了新建项目时Django自带的7个中间件,Django还允许我们自定义中间件

通过查看初始的7个中间件的源码,发现每个类下都有共同的5个方法:

process_request(self,request)
process_view(self, request, view_func, view_args, view_kwargs)
process_template_response(self,request,response)
process_exception(self, request, exception)
process_response(self, request, response)

其中process_request和process_response用的最多且最为重要

---方法

# 自定义中间件的方法步骤
1、在项目或应用下创建一个任意名称的目录
2、在该目录下创建一个.py文件
3、在该py文件内书写类(必须继承MiddlewareMixin),然后在该类下定义那5个方法
    from django.utils.deprecation import MiddlewareMixin
4、将类的路径以字符串形式注册到settings.py的MIDDLEWARE列表中

示例:

# 自定义一个中间件,无论form表单还是Ajax提交过来的json格式数据,统一存放在process_request的request.data中

from django.utils.deprecation import MiddlewareMixin
import json

class MyJsonMiddleware(MiddlewareMixin):
    def process_request(self, request):
        try:
            request.data = json.loads(request.body)
        except Exception as e:
            requset.data = request.POST

---process_request(self, request)

1、参数request和视图函数中的request是一样的

2、请求来的时候需要执行每个中间件的process_request方法,执行顺序从上往下

3、如果某个中间件中没有定义process_request方法,直接跳过执行下一个

4、如果process_request方法返回了HttpResponse对象(3个),那么请求不再继续往后执行,而是原路返回

5、中间件的process_request方法是在执行视图函数前执行的

'''app01下的mymiddleware目录下的mymiddlewaretest.py中'''
from django.utils.deprecation import MiddlewareMixin

class MyMiddleware1(MiddlewareMixin):
    def process_request(self, request):
        print("MyMiddleware1里面的process_request")

class MyMiddleware2(MiddlewareMixin):
    def process_request(self, request):
        print("MyMiddleware2里面的 process_request")

'''在settings.py中的MIDDLEWARE中注册上述两个中间件'''
MIDDLEWARE = [
    .......
    'app01.mymiddleware.mymiddlewaretest.MyMiddleware1',  # 自定义中间件1
    'app01.mymiddleware.mymiddlewaretest.MyMiddleware2'   # 自定义中间件2
]

'''访问一个视图,终端打印如下'''
MyMiddleware1里面的process_request
MyMiddleware2里面的 process_request
app01中的test视图

---process_response(self, request, response)

1、响应走的时候需要经过并执行每个中间件里的process_response方法

response参数是返回的HttpResponse对象

2、该方法必须返回一个HttpResponse对象,默认返回对象就是response,也可以返回自己的

3、执行顺序是从下往上,若某个中间件没有该方法则跳过它执行下一个

如果当某个中间件的process_request方法有返回对象直接返回后,就会走同级别的process_response返回了,而不会走下面的中间件了

---process_view(self, request, view_func, view_args, view_kwargs)

1、在执行完process_request方法后执行视图函数前,会执行该方法

2、该方法有4个参数:

        request是HttpResponse对象

        view_func是Django即将使用的视图函数

        view_args是传递给视图的位置参数的列表

        view_kwargs是传递给视图的关键字参数的字典

3、执行顺序是从上往下顺序执行。返回None时,Django将继续处理这个请求,继续执行其它中间件的process_view方法;返回HttpResponse对象时,将不再执行视图函数,而是在同级别掉头执行process_response方法

---process_template_response(self, request, response)

返回的HttpResponse对象有render属性时才会触发,视图函数执行完后立即执行

顺序是从下往上

---process_exception(self, request, exception)

当视图函数出现异常的情况下触发。若返回None,则将异常交给下一个中间件的process_exception方法来处理;若返回HttpResponse对象,则从同级开始往上执行process_response方法,并返回给浏览器。

执行顺序从下往上

-CSRF校验

--简介

csrf(Cross-site request forgery)跨站请求伪造:网站在给用户返回一个具有提交数据功能的页面的时候会给这个页面加一个唯一标识。当这个页面朝后端发送post请求时,后端会先校验这个唯一标识,如果不对则直接拒绝(显示403 Forbidden页面),成功才正常执行后续

之前已经接触过一个csrf相关的中间件了'django.middleware.csrf.CsrfViewMiddleware'

我们一开始让把它注释掉,再提交post请求的时候,就不会被forbidden了

现在使用csrf就可以不再注释这个中间件了

--form表单符合csrf校验

<form action="" method='post'>
	{% csrf_token %}         <!--只需加上这段代码-->
	<p>username:<input type='text' name='username'></p>
	<p>target_user:<input type='text' name='target_user'></p>
	<p>money:<input type='text' name='money'></p>
	<input type = 'submit'>
</form>

只需要加上{% csrf_token %}后,每次请求后端都会发一个唯一标识,体现在页面上就是多了一个<input type="hidden" name="csrfmiddlewaretoken" value="RbzvDpgCyvKjBSMnMuZiTXfyGcYBVlU3MoI5P6uYtG07kob0W1gXU8unS7AI3HDM">且每次访问value=""都不一样

--Ajax符合csrf校验

三种方式:

{# 引入通用方法js文件(第三种方式) #}
<script src="{% static  'js/mysetup.js'%}"></script>
{# ajax请求代码 #}
<script>
    $('#submit').click(function (){
        $.ajax({
            url:'',
            type:'post',
            {#// 第一种 利用标签查找到该随机字符串 data的键必须是csrfmiddlewaretoken#}
            {#data:{'name':'weer','csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()},#}
            {#// 第二种 利用模板语法快捷书写#}
            {#data:{'username':'weer', 'csrfmiddlewaretoken': '{{ csrf_token }}'},#}
            // 第三种 通用方式 引入官方js代码到html页面 然后啥也不写
            success:function (args){

            }
        })
    })
</script>

--csrf装饰器添加方法

现有如下需求:

        1.网站整体都不校验csrf,就单单几个视图函数要校验

        2.网站整体都校验csrf,就单单几个视图函数不校验

要实现上述需求,需要用到装饰器

from django.views.decorators.csrf import csrf_protect, csrf_exempt

csrf_protect:      需要校验
csrf_exempt:       忽略校验

针对需求1:

        注释掉那个csrf中间件,然后对要csrf校验的视图函数上加@csrf_protect

针对需求2:

        打开那个csrf中间件,对不csrf校验的视图函数上加@csrf_exempt

---CBV方式添加csrf装饰器

from django.utils import method_decorator
from django.views import View


# @method_decorator(csrf_protect, name = 'post')   # 针对csrf_protect,第二种方式可以
# @method_decorator(csrf_exempt, name = 'post')    # 针对csrf_exempt,第二种方式不可以
@method_decorator(csrf_exempt, name = 'dispatch')  # 针对csrf_exempt,这种可以(四)
class MyCsrfToken(View):
    # @method_decorator(csrf_protect)   # 针对csrf_protect,第三种方式可以
    # @method_decorator(csrf_exempt)    # 针对csrf_exempt,第三种方式可以
    def dispatch(self, request, *args, **kwargs):
        return super(MyCsrfToken, self).dispatch(request, *args, **kwargs)

    def get(self, request):
        return HttpResponse('get')

    # @method_decorator(csrf_protect)   # 针对csrf_protect,第一种方式可以
    # @method_decorator(csrf_exempt)    # 针对csrf_exempt,第一种方式不可以
    def post(self, request):
        return HttpResponse('post')

总结:csrf_protect三种方式都行;csrf_exempt只有第三种方式或“四”可行

weer-wmq
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
主要介绍了详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
关于django 1.10 CSRF验证失败的解决方法
01-01
最近工作闲,没事自学django,感觉这个最烦的就是各版本提供的api函数经常有变化,不是取消了就是参数没有了,网上搜到的帖子也没说明用的是什么版本的django,所以经常出现搬运过来的代码解决不了问题的情况,不过基本上遇到的坑不多,最坑的就是在提交post表单时弄了两天的CSRF验证失败问题,特此记录一下,我用的是django 1.10.3: 如果你不想使用这个功能,直接找到settings.py中的’django.middleware.csrf.CsrfViewMiddleware’,这一行,直接给丫注释掉,就不用启动CSRF检查了,一了白了,当然了如果你是练手的时候这么干还行,正式一点
radicale-django.zip
07-13
Django 是 Python 编程语言驱动的一个开源模型-视图-控制器(MVC)风格的 Web 应用程序框架。使用 Django,我们在几分钟之内就可以创建高品质、易维护、数据库驱动的应用程序。 django CalDAV 服务 此分支为将radicale改造为基于django INSTALLED_APPS加入 'radicale', url加入 url(r'^(?P<path>.*)$', radicaleViewHandle), 如果需要CalDAV的服务路径不为根目录,例如基于/caldav/,则url配置为: url(r'^caldav(?P<path>.*)$', radicaleViewHandle), 并修改radicale/config.py "base_prefix": "/caldav/" MIDDLEWARE_CLASSES 注掉如下功能 #'django.middleware.csrf.CsrfViewMiddleware', 账号使用的是django自带的用户认证
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。 教你如何在AJAX请求上设置令牌。
Django中间件解析
bocai_xiaodaidai的博客
03-20 1366
一、什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。 每个中间件组件都负责做一些特定的功能。但是由于其影响的是全局,所以需要谨慎使用,使用不当会影响性能。 说的直白一点中间件是帮助我们在视图函数执行之前和执行之后都可以做一些额外的操作,它本质上就是一个自定义类,类中定义了几...
Django(六)Session、CSRF中间件
人生就是一场修行
01-10 3658
大纲二、session 1、session与cookie对比 2、session基本原理及流程 3、session服务器操作(获取值、设置值、清空值) 4、session通用配置(在配置文件中) 5、session引擎配置(db、cache、file、cookie加密) 三、CSRF 1、csrf原理-form提交及ajax提交 2、csrf全局与局部应用配置 四、中间件生命周期
csrf中间件
weixin_30362233的博客
09-09 224
csrf中间件 源码简略分析: def process_request(self, request): # 从cookies中获取csrf_token csrf_token = self._get_token(request) if csrf_token is not None: # Use same to...
csrf中间件
pyrans的博客
10-31 444
Djangocsrf中间件 csrf: 跨站请求伪造(Cross Site Request Forgery) 后端csrf的使用 1、全局使用或禁用 ​ 若需全局禁用csrf在settings.py中将MIDDLEWARE中的'django.middleware.csrf.CsrfViewMiddleware'注释即可若使用则不需做其他操作 2、局部使用或禁用 from django.views...
原来防御 CSRF 攻击这么简单? —— Hertz CSRF 中间件实战
Lance_Yuan24的博客
12-04 216
Hertz 是一个超大规模的企业级微服务 HTTP 框架,具有高易用性、易扩展、低时延等特点。Hertz 默认使用自研的高性能网络库 Netpoll,在一些特殊场景中,相较于 go net,Hertz 在 QPS、时延上均具有一定优势。
Djangocsrf中间件
m0_37906230的博客
11-30 320
Djangocsrf中间件 CSRF:跨站请求伪造Cross Site Request Forgery CSRF的攻击流程 用户a 访问可信站点1做业务处理,此时浏览器会保存该网站的cookie,当用户a 访问不可信站点2时,如果站点2有指向站点1的链接时候,那么攻击就用可能发生 Eg: 1、包含站点1的链接,点击跳转 2、img 的src属性值是站点1的链接 3、Js加载,js里有跳转的动作...
csurf:CSRF令牌中间件
02-04
使用完成 : $ npm install csurfAPI var csurf = require ( 'csurf' )csurf([选项]) 创建用于CSRF令牌创建和验证的中间件。 该中间件添加了一个req.csrfToken()函数以创建一个令牌,该令牌应添加到在隐藏的表单...
asgi-csrf:ASGI中间件,用于防御CSRF攻击
05-26
ASGI中间件,用于防御CSRF攻击 安装 pip install asgi-csrf 背景 请参阅及其。 该中间件实现了,该中设置了cookie,然后将其与csrftoken隐藏表单字段或x-csrftoken HTTP标头进行比较。 用法 像这样装饰您的ASGI...
nosurf:Go的CSRF保护中间件
02-03
它的作用类似于中间件,因此基本上可以与任何Go HTTP应用程序兼容。为什么? 尽管CSRF是一个突出的漏洞,但Go的与Web相关的软件包基础结构主要由微框架组成,这些微框架既不实施CSRF检查,也不应该实施CSRF检查。 ...
csrf:Go的CSRF中间件
05-17
csrf Go的CSRF中间件
csrf-login-token:来自登录令牌中间件CSRF令牌
04-15
使用登录令牌的csurf Node.js 保护...选项csurf函数采用一个可选的options对象,该对象可能包含以下任何键:ignoreMethods 禁用CSRF令牌检查的方法的数组。 默认为['GET', 'HEAD', 'OPTIONS'] 。价值提供中间件将调用的
Django中间件CsrfViewMiddleware
weixin_30363981的博客
10-05 133
1、CsrfViewMiddleware 1.1、CSRF:跨站请求伪造   CSRF全称为Cross-site request forgery,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号...
django前后端结合_Django前后端分离,中间件CsrfViewMiddleware源码分析
weixin_30304423的博客
11-29 217
本文分析了django前后端分离项目中关于csrf的token获取和验证的源码前后端分离项目获取token通过提前发起get请求,后端将token存储在cookie中,第二次post请求前端将token从cookie中放到请求头中,后端验证这两个值是否一致来避免csrf攻击,写的比较简单,见谅。django 1.11.22djangorestframework 3.9.4djangorestfra...
django源码分析:中间件CsrfViewMiddleware
Victor_Monkey的博客
12-18 1056
本文环境python3.5.2,django1.10.x系列 介绍django中关于跨域请求保护的内容,主要由其中一个中间件完成,下面稍微讲一下关于csrf原理和django中间件在请求中的作用,重点将放到CsrfViewMiddleware中间键的源码讲解。 csrf原理 CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存...
django csrfMiddleware的一些理解&跨站和跨域
General_zy的博客
11-05 629
但是需要注意的是,仅仅依靠跨域请求的限制是不够的,因为攻击者可能通过其他手段窃取到用户的Cookie信息,例如使用钓鱼网站欺骗用户输入用户名和密码等敏感信息,从而获取用户的Cookie。但是需要注意的是,这种限制仅仅是在浏览器层面上生效的,如果攻击者使用其他方式(例如在服务器端发起跨域请求)绕过了浏览器的限制,则依然可能窃取到用户的Cookie信息,造成安全威胁。因此,在开发时应该采取多种措施,例如限制Cookie的作用域、使用安全的传输协议(如HTTPS)、对Cookie进行加密等,来保护用户的安全。
django中的 csrf
最新发布
03-31
同时,Django还提供了装饰器@csrf_protect和中间件CsrfViewMiddleware来增强CSRF保护。其中,@csrf_protect装饰器用于保护单个视图函数,而CsrfViewMiddleware中间件则可以全局保护所有视图函数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

weer-wmq

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值