django源码分析:中间件CsrfViewMiddleware

最新推荐文章于 2023-07-18 15:55:00 发布
最新推荐文章于 2023-07-18 15:55:00 发布
阅读量1k 收藏 3
点赞数
分类专栏: Django python web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Victor_Monkey/article/details/85057259
版权

本文环境python3.5.2,django1.10.x系列
介绍django中关于跨域请求保护的内容,主要由其中一个中间件完成,下面稍微讲一下关于csrf原理和django中间件在请求中的作用,重点将放到CsrfViewMiddleware中间键的源码讲解。

csrf原理

   CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:
   攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。

django中间件作用

Django文档中对中间件的解释

中间件是Django请求/响应处理的链接框架。它是一个轻巧的底层的“插件”系统,用于全局改变Django的输入或输出。
每个中间件组件负责执行某些特定功能。例如,Django包含一个中间件组件AuthenticationMiddleware,它将用户与使用会话的请求相关联。

在请求阶段,调用views之前,django按照MIDDLEWARE_CLASSES中定义的顺序从上到下调用中间件。有两个hooks:
process_request()
process_view()
在响应阶段,调用views之后,中间件被从下到上反向调用,有三个hooks:
process_exception() (只有当view中raise一个例外时)
process_template_response() (只有view中返回template时)
process_response()

在这里插入图片描述

源码分析

下面详细解释一下中间件CsrfViewMiddleware的源代码,代码旁边都有注释。

class CsrfViewMiddleware(MiddlewareMixin):
    """
    Middleware that requires a present and correct csrfmiddlewaretoken
    for POST requests that have a CSRF cookie, and sets an outgoing
    CSRF cookie.

    This middleware should be used in conjunction with the csrf_token template
    tag.
    """
    # The _accept and _reject methods currently only exist for the sake of the
    # requires_csrf_token decorator.
    def _accept(self, request):
        # Avoid checking the request twice by adding a custom attribute to
        # request.  This will be relevant when both decorator and middleware
        # are used.
        request.csrf_processing_done = True                                      # 避免检查middleware或者装饰器检查多次request
        return None

    def _reject(self, request, reason):                                          # 返回请求拒绝理由
        logger.warning(
            'Forbidden (%s): %s', reason, request.path,
            extra={
                'status_code': 403,
                'request': request,
            }
        )
        return _get_failure_view()(request, reason=reason)

    def process_view(self, request, callback, callback_args, callback_kwargs):   
        if getattr(request, 'csrf_processing_done', False):                      # 检查csrf验证参数,如果已经验证,则返回None
            return None

        try:
            cookie_token = request.COOKIES[settings.CSRF_COOKIE_NAME]            # CSRF_SESSION_KEY= "csrftoken"
        except KeyError:
            csrf_token = None
        else:
最低0.47元/天 解锁文章
Victor_Monkey
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是中间件中间件的作用,怎么使用中间件及应用场景
TJC_Man的博客
04-09 5467
什么是中间件中间件的作用,怎么使用中间件及应用场景 如果你想修改请求,例如被传送到view中的HttpRequest对象。 或者你想修改view返回的HttpResponse对象,这些都可以通过中间件来实现。 可能你还想在view执行之前做一些操作,这种情况就可以用 middleware来实现。 Django默认的中间件:(在django项目的settings模块中,有一个 MIDDLEWARE...
Django中间件拦截未登录url
angchixian6300的博客
09-03 1038
1.利用装饰器在视图中拦截未登录的url @login_required(login_url='/user/login/') def homepage(request): pass 这种方法适合于程序中只有少数几个需要登录拦截的url。 2. 利用中间件技术拦截未登录的url 2.1 在settings.py添加MIDDLEWARE设置:middlewa...
Django中间件解析
bocai_xiaodaidai的博客
03-20 1388
一、什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。 每个中间件组件都负责做一些特定的功能。但是由于其影响的是全局,所以需要谨慎使用,使用不当会影响性能。 说的直白一点中间件是帮助我们在视图函数执行之前和执行之后都可以做一些额外的操作,它本质上就是一个自定义类,类中定义了几...
关于django中间件CsrfViewMiddleware的探究
LawssssCat的博客
12-07 1096
django中间件CsrfViewMiddleware源码分析,探究csrf实现中文翻译DjangoWeb开发中关于CSRF的正确配置by Mr数据杨。
【15.0】Django框架之中间件引入
Chimengmeng的博客
07-18 188
【一】Django中间件介绍 【1】什么是Django中间件 Django中间件是一个轻量级、可重用的组件,用于处理Django请求和响应的过程。 它提供了对请求和响应进行全局处理的机制,可以在请求达到视图之前进行预处理或在响应返回给客户端之前进行后处理。 中间件是按照顺序依次执行的,每个中间件都可以对请求和响应进行修改、补充或处理。 在Django的settings.py配置文...
django-decode:django3.0.8源码分析
03-28
方案一:编辑Django原始码编辑Lib / site-packages / django / db / models / sql / compiler.py文件 # 在文件头部导入logging import logging logger = logging . getLogger ( 'django.compiler' ) class SQL...
django-source:django源码剖析
03-24
目录章节01:django是如何做到自动重启的章节02:django运行服务器章节03:django wsgi章节04:django asgi章节05:django请求来了章节06:django应用及模型加载章节07:django命令解析章节08:django设置懒加载章节...
django-brotli:使用 brotli 算法压缩响应的 Django 中间件
05-30
Django Brotli:使用 brotli 算法压缩响应的中间件 介绍 该项目由BrotliMiddleware组成,其工作方式与 Django GZipMiddleware ( / ) 相同。 BrotliMiddleware将使用 brotli 算法压缩 HTTP 响应的内容(Brotli 压缩...
django电子商务网站源码.zip
05-08
django电子商务网站源码 django电子商务网站源码 django电子商务网站源码 django电子商务网站源码 django电子商务网站源码 django电子商务网站源码 django电子商务网站源码 django电子商务网站源码 django...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
Django框架提供了一个内置的中间件`django.middleware.csrf.CsrfViewMiddleware`来帮助开发者防范这种攻击。 **一、Django后台处理** 1. **启用CSRF保护中间件**: 在Django项目的`settings.py`文件中,你需要...
python middleware模块_详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击...
weixin_39864601的博客
12-10 214
一、在django后台处理1、将django的setting中的加入django.contrib.messages.middleware.MessageMiddleware,一般新建的django项目中会自带的。MIDDLEWARE_CLASSES = ['django.middleware.security.SecurityMiddleware','django.contrib.sessions...
django中间件CsrfViewMiddleware源码分析,探究csrf实现
qq_27952549的博客
09-05 1642
Django Documentation csrf保护基于以下: 1. 一个CSRF cookie 基于一个随机生成的值,其他网站无法得到。此cookie由CsrfViewMiddleware产生。它与每个调用django.middleware.csrf.get_token()(这是一个用于取回CSRF token的方法)的响应一起发送,如果它尚未在请求上设置的话。为了防止BREACH攻击,t...
django 中间件 CsrfViewMiddleware 200318
鲸鱼编程-python全栈
03-24 127
DjangoCSRF防护原理及使用
逸尘的专栏
05-29 4910
django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。全局:中间件 django.middleware.csrf.CsrfViewMiddleware局部:@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没
利用django中间件CsrfViewMiddleware防止csrf攻击
weixin_30851867的博客
10-09 732
一、在django后台处理 1、将django的setting中的加入django.contrib.messages.middleware.MessageMiddleware,一般新建的django项目中会自带的。 MIDDLEWARE_CLASSES = [ 'django.middleware.security.SecurityMiddleware', 'django.cont...
DjangoCSRF中间件 'django.middleware.csrf.CsrfViewMiddleware',
weixin_33971130的博客
04-03 676
1、DjangoCSRF中间件的工作原理及form表单提交需要添加{% csrf_token %}防止出现403错误 CSRF # 表示django全局发送post请求均需要字符串验证功能:防止跨站请求伪造的功能工作原理:客户端访问服务器端,在服务器端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器端时,服务器端会到客户端查找先前返回的字符串,如果找到则继续,找...
django 跨域报错(corsheaders.E013)
热门推荐
wjg1314521的博客
05-31 1万+
?: (corsheaders.E013) Origin '127.0.0.1:8080' in CORS_ORIGIN_WHITELIST is missing scheme or netloc HINT: Add a scheme (e.g. https://) or netloc (e.g. example.com). 自己在学习的时候在django跨域的时候,默认设置如下 '...
Django2.1.4中CSRF注意事项
weixin_43523521的博客
12-20 592
Django2.1.4中csrf注意事项 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客:...
Django中间件CsrfViewMiddleware
weixin_30363981的博客
10-05 136
1、CsrfViewMiddleware 1.1、CSRF:跨站请求伪造   CSRF全称为Cross-site request forgery,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号...
django源码分析
最新发布
10-08
对于Django源码分析,我可以给你一些简要的介绍。 Django是一个开源的Python Web框架,其源码分为多个模块和包,每个模块和包都有不同的功能。下面是一些主要模块和包的简要说明: 1. django:这是Django框架的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值