Django sessions 详解--part I: Cookies

最新推荐文章于 2024-03-12 20:08:54 发布
最新推荐文章于 2024-03-12 20:08:54 发布
阅读量652 收藏
点赞数
分类专栏: django

      所谓cookie其实就是有服务器端发送到客户端的属性字符串,

然后客户端再返回给服务器端。它里面包含了一些用户的基本信息。

cookie中的信息对客户端是不透名的,它只在服务器端使用。

下面,我们来看看在Django中使用cookie。

首先来看看在python中使用cookie

from BaseHTTPServer import HTTPServer
from SimpleHTTPServer import SimpleHTTPRequestHandler
import Cookie

class MyRequestHandler(SimpleHTTPRequestHandler):
    def do_GET(self):
        content = "<html><body>Path is: %s</body></html>" % self.path
        self.send_response(200)
        self.send_header('Content-type', 'text/html')
        self.send_header('Content-length', str(len(content)))

        cookie = Cookie.SimpleCookie()
        cookie['id'] = 'some_value_42'

        self.wfile.write(cookie.output())
        self.wfile.write('\r\n')

        self.end_headers()
        self.wfile.write(content)

server = HTTPServer(('', 59900), MyRequestHandler)
server.serve_forever()

这是一个非常简单的使用cookie的例子,它展示了浏览器请求的路径信息。

同时,它也设置了一个cookie,服务器的相应头部应该会包含类似下面的信息:

Set-Cookie: id=some_value_42

python中的cookie模块提供了load方法用来解析cookie,这里就不再赘述。

下面来看看在Django中的cookie。

Django中的cookie设置比较烦琐,下面的方法展示了检测一个httprequest中是否有cookie,

如果没有服务器会返回一个cookie给浏览器,以便下次访问中使用它:

def test_cookie(request):
    if 'id' in request.COOKIES:
        cookie_id = request.COOKIES['id']
        return HttpResponse('Got cookie with id=%s' % cookie_id)
    else:
        resp = HttpResponse('No id cookie! Sending cookie to client')
        resp.set_cookie('id', 'some_value_99')
        return resp

从上可以看出cookie被设置在一个httprequest中的类dict属性中,我们可以直接访问它。

Django中cookie的执行

Django的应用通常都是通过WSGI部署的,所以我们重点看看WSGI后台上的执行。

以Django1.3为例,WSGIRequest(继承自http.Request)类中,

我们可以看到cookie被设置成隐藏属性存放在self._cookies,如下:

def _get_cookies(self):
    if not hasattr(self, '_cookies'):
        self._cookies = http.parse_cookie(self.environ.get('HTTP_COOKIE', ''))
    return self._cookies

每个WSGI specification实例都有cookie属性,但并非每个请求都需要cookie,

所以在不许要cookie的时候,我们就不需要对它进行解析。

上面的代码中我们提到一个方法:http.parse_cookie,它又是什么?

它是 Django’s HTTP module一个通用方法

def parse_cookie(cookie):
    if cookie == '':
        return {}
    if not isinstance(cookie, Cookie.BaseCookie):
        try:
            c = SimpleCookie()
            c.load(cookie, ignore_parse_errors=True)
        except Cookie.CookieError:
            # Invalid cookie
            return {}
    else:
        c = cookie
    cookiedict = {}
    for key in c.keys():
        cookiedict[key] = c.get(key).value
    return cookiedict

它就是通过标准库中的Cookie模块来解析cookie的。

在一个httpresponse中设置cookie要通过set_cookie方法。

它会将设置的cookie写进self.cookies属性。

而WSGIHandler将会把相关的cookie信息添加在httpresponse的header中。

结束语

其实cookie在python和Django中的使用是非常简单的,但是处于安全性能的考虑,

还是不建议直接在Django中使用cookie,而是推荐使用更高级的sessions。


hireboy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django-db-connection-pool:Django 的持久数据库连接后端
05-30
django-db-connection-pool Django 的 MySQL & Oracle & PostgreSQL 连接池后端,基于 SQLAlchemy。快速开始使用pip安装所有引擎: $ pip install django-db-connection-pool[all] 或选择特定引擎: $ pip install ...
【网络安全作业】office漏洞检测与利用
水亦心的博客
11-26 1191
注:可以在kali中打开此博客,所有的命令行直接拖动即可,无需自己手敲,一方面是为了方便,一方面是防止不留意写错,可能导致前功尽弃。 目录 一、下载与设置 1、操作系统下载 2、操作系统安装 3、脚本及cve文件下载 4、文件转存 二、操作 1、打开metasploit 2、查找cve模块 3、使用cve模块 4、运行-exploit -j 5、生成恶意doc文件 6...
靶机渗透测试实战(一)——拿下shell之后的操作、SUID的解释
weixin_45116657的博客
09-25 2942
理论基础: 1、使用arp-scan -l命令进行主机扫描,确定主机ip; arp-scan是一个用来进来系统发现和指纹识别的命令行工具。它可以构建并发送ARP请求到指定的IP地址,并且显示返回的任何响应。 arp-scan是Kali Linux自带的一款ARP扫描工具。该工具可以进行单一目标扫描,也可以进行批量扫描。批量扫描的时候,用户可以通过CIDR、地址范围或者列表文件的方式指定。该工具...
Django(5)|Django中的cookie和session
不愿意透露姓名的网友
09-21 1609
作用是来获取用户存入的cookie和session信息,以此为依据,在用户进入其他页面时候,每次使用装饰器进行判断,如果用户是登录进来的,则可以访问,如果用户是直接输入的网址进入,则会返回至登录页面。由于http请求是无状态的,无法记录身份,所以需要一种机制能够长期的记录身份,最早出现的就是cookie。而cookie是由服务器下发给用户的,保存在用户的浏览器上面,用于校验身份的数据。写一个登出页面,目的是为了删除cookie和session的存储信息,使用户退出后,不可直接进入页面。
Django(34)Django操作session(超详细)
weixin_43880991的博客
05-26 1956
前言 session: session和cookie的作用有点类似,都是为了存储用户相关的信息。不同的是,cookie是存储在本地浏览器,session是一个思路、一个概念、一个服务器存储授权信息的解决方案,不同的服务器,不同的框架,不同的语言有不同的实现。虽然实现不一样,但是他们的目的都是服务器为了方便存储数据的。session的出现,是为了解决cookie存储数据不安全的问题的。 cooki...
kali-简单渗透笔记
weixin_30750335的博客
01-12 2593
端口扫描 nmap -sS 目标ipArp 内网断网Arpspoof -i 网卡 -t 目标ip 网关获取网卡/网关ifconfig获取内网ipfping -asg 192.168.1.0/24Arp 欺骗echo 写命令,是不会有回显的ehco 1 >proc/sys/net/ipv4/ip_forward# 进行IP流量转发目标 --》 我的网卡 --》网关driftnet --&gt...
django-dashboard-dattaable:Django信息中心-DattaAble Design | 应用种子
02-04
Django框架中的AppSeed生成的。 Bootstrap Lite是市场上所有其他Lite / Free管理模板中风格最强的Bootstrap 4 Lite管理模板。 它带有功能丰富的页面和带有完全以开发人员为中心的代码的组件。 在开发Datta Able...
django-vue-admin:基于RBAC模型的权限控制的一整套基础开发平台,前拆分分离,采用django + django-rest-framework,前端采用ruoyi-ui + vue + ElementUI
03-07
Django-Vue-管理员平台简介Django-Vue-Admin是一套完整开源的快速开发平台,无需保留给个人及企业免费使用。前端采用ruoyi-ui,Vue,Element UI。率先采用Python语言Django框架。权限认证使用Jwt,支持多终端认证...
django-rest-captcha
05-27
Django Rest验证码django-simple-captcha轻量级版本,可与django-rest-framework 。特征速度:使用cache代替数据库安全性:用于生成密钥和图像的联合方法。 (一个键不能生成很多图像) 简单:只需一个rest api...
django-s3-like-storage:您自己的Amazon S3 Django存储
05-01
您自己的Amazon S3服务器 此应用程序复制基本的Amazon S3功能: 能够使用自己的凭据拥有多个存储桶...为了在Django项目中使用该存储,您可能需要使用django-storages软件包,在这种情况下,需要一些额外的设置。 # Us
获得一个session会话后,可进行的命令操作
mohanhan
06-27 1968
session操作 Msf下 sessions –l 列出目前msf后台已有的session Sessions –i 1 使用id=1的seesion,并进入meterpeter Meterpreter下 background查看当前后台存在的session 以下命令皆在 meterpreter下执行 进程相关功能: Ps查看进程 比如木马进程1234 靶机桌面进程exploit.exe是3445 Ps 3445 就可以把木马进程注入到桌面进程,可对木马进程做隐藏 migrate 72
后渗透之meterpreter使用攻略
钻石
01-06 8380
本文转载来源:https://xz.aliyun.com/t/2536 Metasploit中的Meterpreter模块在后渗透阶段具有强大的攻击力,本文主要整理了meterpreter的常用命令、脚本及使用方式。包含信息收集、提权、注册表操作、令牌操纵、哈希利用、后门植入等。 0x01.系统命令 1)基本系统命令 sessions #sessions –h 查看帮助 sessi...
DjangoSession
最新发布
AZURE060606的博客
03-12 947
Session 是一种在 Web 应用中跟踪用户状态的机制。它可以用于存储和管理用户会话数据,以实现对用户身份验证、状态保持和用户个性化设置的支持Session和Cookie都是于客户端和浏览器中传输数据(response和requestCookie将数据存储在浏览器Session将数据存储在数据库。
Django中的Session使用(进阶篇)
zhanghs1989的博客
04-17 4355
一、什么是Session和Cookie? 这里有必要先了解一下Session和Cookie的概念。 我们知道,HTTP是无状态、无连接的协议,但是只要结合实际场景的话,你显然会对这个说法感到疑惑,因为有很多实际应用中的例子,似乎都表明了HTTP是’有状态’的。比方说,你登录一个网站,并没有输入账号密码就会自动登录,你在购物车中购买的商品,并没有标注你的身份就可以被服务器正确识别,这又是怎么一回事呢?其实做到这些的,不是HTTP,而是另外两个技术,Cookie和Session。 我们登录一个网站输入网址,
Djangosession的使用
python学习者的博客
08-21 3409
启用session 首先确认在 MIDDLEWARE_CLASSES中确保它包含’django.contrib.sessions.middleware.SessionMiddleware’,如果不想使用用session会话可以删除这一项 配置session引擎 默认情况下,django框架会将session数据存储在数据库(django框架中默认创建的model里有存储session的model,...
meterpreter会话渗透利用常用的32个命令归纳小结
至臻求学,胸怀云月
01-25 1835
仅作渗透测试技术实验之用,请勿针对任何未授权网络和设备。 1、background命令 返回,把meterpreter后台挂起 2、session命令 session 命令可以查看已经成功获取的会话 可以使用session -i 连接到指定序号的meterpreter会话已继续利用 3、shell命令 获取目标主机的远程命令行shell 如果出错,考
Session操作
weixin_42627164的博客
07-18 990
Session操作 通过HttpRequest对象的session属性进行会话的读写操作。 1) 以键值对的格式写session。 request.session['键']=值 2)根据键读取值。 request.session.get('键',默认值) 3)清除所有session,在存储中删除值部分。 request.session.clear() 4)清除sessi...
MSF(二):msf外部/内部常用命令
1stPeak's Blog
02-21 4810
msf外内部常用命令 安全牛学习Metasploit Framework笔记 1、msf外部命令 msfconsole -h/-q/-r/-v/exit msf的帮助信息/安静启动,没有banner/使用msfconsole自动化执行rc文件里的内容/msf版本/退出msf help/?/help xxx 帮助信息/帮助信息/查看具体名称的帮助i信息 service postgresql s...
DjangoSession
qcyfred的博客
04-04 519
默认情况下,DjangoSession保存在其自带的sqlite数据库中。在settings.py中,INSTALLED_APPS配置django.contrib.sessions。超时request.session.set_expiry(60 * 30)  #  30分钟过期(发呆时间)设置sessionrequest.session['key'] = value  # session的key...
django 设置Access-Control-Allow-Origin:*
09-06
Django中设置Access-Control-Allow-Origin:*,可以通过使用django-cors-headers来实现。首先,你需要安装django-cors-headers模块,可以使用pip install django-cors-headers命令进行安装。 然后,在你的项目的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值