Django之中间件介绍、自定义中间件、csrf跨站请求伪造

最新推荐文章于 2024-01-12 14:46:11 发布
最新推荐文章于 2024-01-12 14:46:11 发布
阅读量289 收藏
点赞数
分类专栏: django 文章标签: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LHQ626/article/details/117455632
版权

文章目录

一、 Django中间件介绍

什么是中间件?

Middleware is a framework of hooks into Django’s request/response processing.
It’s a light, low-level “plugin” system for globally altering Django’s input or output.

官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。每个中间件组件都负责做一些特定的功能。

但是由于其影响的是全局,所以需要谨慎使用,使用不当会影响性能。

说的直白一点中间件是帮助我们在视图函数执行之前和执行之后都可以做一些额外的操作,它本质上就是一个自定义类,类中定义了几个方法,Django框架会在请求的特定的时间去执行这些方法。

我们一直都在使用中间件,只是没有注意到而已,打开Django项目的Settings.py文件,看到下图的MIDDLEWARE配置项。

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware', # 安全中间件
    'django.contrib.sessions.middleware.SessionMiddleware', # 会话中间件:处理session
    'django.middleware.common.CommonMiddleware',  # 站点中间件:处理是否带斜杠的
    'django.middleware.csrf.CsrfViewMiddleware',  # CSRF保护中间件:跨站请求伪造的处理
    'django.contrib.auth.middleware.AuthenticationMiddleware', # 认证中间件:提供用户认证服务
    'django.contrib.messages.middleware.MessageMiddleware',# 消息中间件:基于cookie或者会话的消息功能
    'django.middleware.clickjacking.XFrameOptionsMiddleware', # X-Frame-Options中间件:点击劫持保护
]

# SessionMiddleware源码
django.contrib.sessions.middleware.SessionMiddleware
process_request(self, request) # 请求来了会触发
process_response(self, request, response) # 请求走了会触发

MIDDLEWARE配置项是一个列表(列表是有序的,记住这一点,后面你就知道为什么要强调有序二字),列表中是一个个字符串,这些字符串其实是一个个类,也就是一个个中间件。

我们之前已经接触过一个csrf相关的中间件了?我们一开始让大家把他注释掉,再提交post请求的时候,就不会被forbidden了,后来学会使用csrf_token之后就不再注释这个中间件了。

二、 自定义中间件

Django默认有七个中间件,但是django暴露给用户可以自定义中间件并且里面可以写五种方法

中间件可以定义五个方法,分别是:(主要的是process_request和process_response)
1.必须掌握
    process_request(self,request)
    process_response(self, request, response)

2.了解即可
    process_view(self, request, view_func, view_args, view_kwargs)
    process_template_response(self,request,response)
    process_exception(self, request, exception)

以上方法的返回值可以是None或一个HttpResponse对象,如果是None,则继续按照django定义的规则向后继续执行,如果是HttpResponse对象,则直接将该对象返回给用户。

自定义中间件需要在Django配置文件中告诉Django去哪找这个自定义的中间件,默认可以放在项目的对应app中,新建一个任意名称的文件夹eg:middleware,在此文件夹中新建任意名称的文件eg:my_middleware.py,然后在此文件中根据需求自定义五个方法中的任意一个或多个

ps:中间件的本质就是含有五个可以修改的内置方法的类,所以自定义的时候需要做的就是先继承一个Django提供的中间件混合的父类(MiddlewareMixin)。

在settings.py的MIDDLEWARE配置项中注册两个自定义中间件:

在这里插入图片描述
在这里插入图片描述

process_request(重点)

from django.utils.deprecation import MiddlewareMixin


class MD1(MiddlewareMixin):

    def process_request(self, request):
        print("MD1里面的 process_request")


class MD2(MiddlewareMixin):
    def process_request(self, request):
        print("MD2里面的 process_request")
        pass

# 此时,我们访问一个视图,会发现终端中打印如下内容:
MD1里面的 process_request
MD2里面的 process_request
app01 中的 index视图
'''
1. process_request有一个参数,就是request
2. 请求来的时候会依次(从上往下)执行配置文件中注册了的中间件里面的process_request方法 如果没有直接跳过
3. 不同中间件之间传递的request都是同一个对象
4. 该方法如果直接返回了HttpResponse对象那么请求不再继续往下而是直接原路返回
'''

process_response方法(重点)

from django.utils.deprecation import MiddlewareMixin


class MD1(MiddlewareMixin):

    def process_request(self, request):
        print("MD1里面的 process_request")

    def process_response(self, request, response):
        print("MD1里面的 process_response")
        return response


class MD2(MiddlewareMixin):
    def process_request(self, request):
        print("MD2里面的 process_request")
        pass

    def process_response(self, request, response):
        print("MD2里面的 process_response")
        return response

# 访问一个视图,看一下终端的输出:
MD1里面的 process_request
MD2里面的 process_request
app01 中的 index视图
MD2里面的 process_response
MD1里面的 process_response

'''
1. 响应走的时候需要经过每一个中间件里面的 process_response方法,该方法有两个额外的参数 request, response
2. 响应走的时候从下往上依次执行注册了的中间件里面的process_response方法如果没有则直接跳过
3. 该方法需要将形参response返回 该response其实就是视图函数返回给浏览器的数据
4. 该方法还可以拦截返回给浏览器的数据 并且还支持自定义返回内容

'''

在这里插入图片描述

process_view方法(了解)

'''
process_view(self, request, view_func, view_args, view_kwargs)

该方法有四个参数

request是HttpRequest对象。
view_func是Django即将使用的视图函数。 (它是实际的函数对象,而不是函数的名称作为字符串。)
view_args是将传递给视图的位置参数的列表.
view_kwargs是将传递给视图的关键字参数的字典。 view_args和view_kwargs都不包含第一个视图参数(request)。

Django会在调用视图函数之前调用process_view方法。

它应该返回None或一个HttpResponse对象。 
如果返回None,Django将继续处理这个请求,执行任何其他中间件的process_view方法,然后在执行相应的视图。 
如果它返回一个HttpResponse对象,那么将不会执行Django的视图函数,而是直接在中间件中掉头,倒叙执行一个个process_response方法,最后返回给浏览器
'''
from django.utils.deprecation import MiddlewareMixin


class MD1(MiddlewareMixin):

    def process_request(self, request):
        print("MD1里面的 process_request")

    def process_response(self, request, response):
        print("MD1里面的 process_response")
        return response

    def process_view(self, request, view_func, view_args, view_kwargs):
        print("-" * 80)
        print("MD1 中的process_view")
        print(view_func, view_func.__name__)


class MD2(MiddlewareMixin):
    def process_request(self, request):
        print("MD2里面的 process_request")
        pass

    def process_response(self, request, response):
        print("MD2里面的 process_response")
        return response

    def process_view(self, request
最低0.47元/天 解锁文章
嗷range
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django基础(33): 中间件(middleware)的工作原理和应用场景举例
大江狗
03-29 3978
在初级Django开发项目中,你大概率用不到中间件(Middleware)。但随着项目需求越来越复杂,你就需要开始编写自己的中间件了。当你了解到Djan...
Django中间件拦截未登录url
angchixian6300的博客
09-03 1043
1.利用装饰器在视图中拦截未登录的url @login_required(login_url='/user/login/') def homepage(request): pass 这种方法适合于程序中只有少数几个需要登录拦截的url。 2. 利用中间件技术拦截未登录的url 2.1 在settings.py添加MIDDLEWARE设置:middlewa...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
主要介绍了详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Django 中间件简介
XWenXiang的博客
05-25 904
文章目录Django 中间件简介Django 自定义中间件process_requestprocess_response Django 中间件简介 官方解释称中间件是一个用来处理Django请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局 范围内改变Django的输入和输出。每个中间件组件都负责做一些特定的功能。但是由于其影响的是全局,所以需要谨慎使用 使用不当会影响性能。 简单来说中间件是在视图函数执行之前和执行之后做的一些额外操作,它本质上就是一个自定义类,类中定义了几个方法,
django中间件作用
Arrowarcher的博客
10-10 1239
django.middleware.security.SecurityMiddleware 一些安全设置,比如XSS脚本过滤、ssl重定向 django.contrib.sessions.middleware.SessionMiddleware session支持中间件,加入这个中间件,会在数据库中生成一个django_session的表。 django.middleware.common.CommonMiddleware 通用中间件,会处理一些URL,比如baidu.com会自动的处理成www.baidu
Django中间件详解
al6nlee的博客
03-14 2513
本文介绍Django生命周期图,Django内置的中间件自定义一个中间件、详细介绍CsrfViewMiddleware中间件
Django CSRF跨站请求伪造防护过程解析
09-18
CSRF跨站请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网站发起对受害者的合法网站的请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
Django框架之中间件MiddleWare的实现
12-23
例如,`django.middleware.csrf.CsrfViewMiddleware`中间件就是用来防止跨站请求伪造CSRF)攻击的。 在使用中间件时需要注意,调试模式下,由于Django会多次初始化,中间件的`__init__`方法可能会被调用多次。...
Django教程笔记之中间件middleware详解
09-20
这种全局的处理方式使得中间件成为实现某些核心功能,如认证、会话管理、跨站请求伪造CSRF)保护等的关键工具。 首先,理解中间件的工作原理是非常必要的。中间件可以看作是一系列的钩子(hooks),它们在请求被...
django框架中间件原理与用法详解
09-18
- 添加跨站请求伪造CSRF)保护。 - 自定义错误处理,展示自定义的错误页面。 - 性能优化,比如开启GZIP压缩或缓存静态资源。 - 安全性增强,如XSS防护和点击劫持防护。 总之,Django中间件是一种强大的工具,可以...
Django 022】中间件Middleware(一):Django中间件本质和处理流程详解
T型人小付的博客
04-14 449
中间件,是对原有MTV模型的一种补充,可以将其理解为添加额外功能的插件。我们分三节来学习下Django中间件,首先学习下中间件的本质以及处理流程,然后用添加反爬功能为例做一个简单的自定义中间件。最后我们深入一点,学习下系统自带防跨站攻击的csrf中间件,并针对该中间件的源码看看如何让自己的请求csrf信任。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,...
Django中间件解析
bocai_xiaodaidai的博客
03-20 1390
一、什么是中间件? 官方的说法:中间件是一个用来处理Django请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。 每个中间件组件都负责做一些特定的功能。但是由于其影响的是全局,所以需要谨慎使用,使用不当会影响性能。 说的直白一点中间件是帮助我们在视图函数执行之前和执行之后都可以做一些额外的操作,它本质上就是一个自定义类,类中定义了几...
10.Django中间件
清风
03-22 1284
1. Django请求生命周期 2. 中间键 中间键是django的门户. 1. 请求来的时候需要先进过中间件才能到达真正的django后端。 2. 响应走的时候也需要经过中间件才能发送出去. # settings.py 默认有七个中间键 MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', '
Django 配置CSRF跨站请求伪造)保护
qq_39046786的博客
06-16 2555
Django 配置CSRF跨站请求伪造)保护 配置 在项目的setings.py文件中 添加如下。 MIDDLEWARE = [ 'django.middleware.csrf.CsrfViewMiddleware', ] 跨域请求伪造保护实现主要分为两步 第一步: DjangoCSRF 保护要求请求的Referer 标头与标头中存在的来源相匹配Host。例如,这可以防止针对 的POST请求subdomain.example.com成功api.example.com。如果您需要
DjangoCSRF中间件django.middleware.csrf.CsrfViewMiddleware‘
weixin_42213622的博客
10-09 1098
文章目录1 csrf中间件功能及原理 1 csrf中间件功能及原理 CSRF # 表示django全局发送post请求均需要字符串验证 功能:防止跨站请求伪造的功能 工作原理:客服端访问服务器,在服务端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器时,服务器会到客户端查找先前返回的字符串,如果找到则继续,找不到就拒绝。 访问流程:客户端 —> URL路由系统—> CSRF—> 视图函数 需要在客户端页面的post表单中添:{% csrf_token%}
django学习之路(2)-django的功能模块
wx740851326的博客
08-22 778
django对系统中定义的数据表(Model)提供了原生的后台管理支持,通过系统,你可以很方便地管理功能模块,对于对象的增删改查,系统都做了完善的实现。它是MTV中的T,对于,不同的模块我们倾向于使用不同的模板,复杂的页面,往往是多个模板的组合。页面之间的跳转,django是使用路由的形式处理的。上述的9大机制就是django的核心机制,掌握了上述的9大机制,充分理解其运行的过程及实现的原理,你才能真正掌握django的开发。业务功能通常是以视图的形式出现的,它是MVC中的C,实现了M和T的交互。
DjangoCSRF防御全过程解析以及中间件作用机制
Deft_MKJing的博客
05-21 2422
前言 XSS和CSRF攻击的基础原理这里就不介绍了,之前写了一篇文章单独介绍的很详细了,传送门,这里我们直接以Django为分析对象,分析中间件csrf生成原理以及防范Token如何运作的。 CSRF中间件 官方文档介绍的也是表面,本文通过源码层面直接分析流程 官方文档针对CSRF介绍以及参数配置 传送门 Settings文件 Setting.py中有茫茫多的配置选项。传送门 Django全流程...
python middleware模块_详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击...
weixin_39864601的博客
12-10 218
一、在django后台处理1、将django的setting中的加入django.contrib.messages.middleware.MessageMiddleware,一般新建的django项目中会自带的。MIDDLEWARE_CLASSES = ['django.middleware.security.SecurityMiddleware','django.contrib.sessions...
django校验token自定义中间件
最新发布
Ling_Ze的博客
01-12 711
django校验token自定义中间件
列举django中间件和使用方法
07-14
3. CsrfViewMiddleware:处理跨站请求伪造保护。在settings.py文件的MIDDLEWARE中添加: ``` 'django.middleware.csrf.CsrfViewMiddleware', ``` 4. CommonMiddleware:处理常见的Web请求和响应处理操作,如URL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值