系列文章目录
第九章 sweetalert前端插件、序列化组件、批量数据操作、分页器、Forms组件(上)
第十章 forms组件(下)、ModelForm简单使用、cookie与session简单使用
第十一章 django操作cookie补充、django操作session、CBV添加装饰器的三种方式、django中间件常见方法、csrf
文章目录
一、django操作cookie补充
1、cookie的获取
request.COOKIES['key']
request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None)
| 参数 | 作用 |
|---|---|
| default | 默认值 |
| salt | 加密盐 |
| max_age | 后台控制过期时间 |
2、cookie的设置
rep = HttpResponse(...)
rep = render(request, ...)
rep.set_cookie(key,value,...) # 设置cookie
rep.set_signed_cookie(key,value,salt='加密盐', max_age=None, ...)# 加盐设置cookie
| 参数 | 作用 |
|---|---|
| key | 键 |
| value | 值 |
| max_age=None | 超时时间 |
| expires=None | 超时时间(专门针对IE浏览器设置超时时间) |
| path=‘/’ | Cookie生效的路径,/ 表示根路径,特殊的:根路径的cookie可以被任何url的页面访问 |
| domain=None | Cookie生效的域名 |
| secure=False | https传输 |
| httponly=False | 只能http协议传输,无法被JavaScript获取(不是绝对,底层抓包可以获取到也可以被覆盖) |
3、cookie的删除
rep.delete_cookie("username") # 此处参数对应要删除的key
二、django操作session
django中session的配置
- 数据库Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db' # 引擎(默认)
- 缓存Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache' # 引擎
SESSION_CACHE_ALIAS = 'default' # 使用的缓存别名(默认内存缓存,也可以是memcache),此处别名依赖缓存的设置
- 文件Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file' # 引擎
SESSION_FILE_PATH = None # 缓存文件路径,如果为None,则使用tempfile模块获取一个临时地址tempfile.gettempdir()
- 缓存+数据库
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db' # 引擎
- 加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies' # 引擎
其他公用设置项:
SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认)
SESSION_COOKIE_PATH = "/" # Session的cookie保存的路径(默认)
SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默认)
SESSION_COOKIE_SECURE = False # 是否Https传输cookie(默认)
SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输(默认)
SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默认)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期(默认)
SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存(默认)
1、设置session
request.session['key'] = value # 可以设置多组
request.session.set_expiry(value) # 设置超时时间
* 如果value是个整数,session会在些秒数后失效。
* 如果value是个datatime或timedelta,session就会在这个时间后失效。
* 如果value是0,用户关闭浏览器session就会失效。
* 如果value是None,session会依赖全局session失效策略。
设置session
- 产生一个随机字符串
- 表中存储随机字符串与加密数据的对应关系
- 并将产生的随机字符串也给客户端发送一份并让其保存
2、获取session
request.session.get('key') # 可以获取多组
request.session.session_key # 获取产生的随机字符串
服务端保存用户相关状态信息 返回给客户端随机字符串
针对保存 django是使用自带的django_session表
获取session
- 自动获取客户端请求中的随机字符串
- 自动去存储session数据的表中比对
- 如果比对成功自动获取并解密处理
django默认的session失效时间是14天
3.删除session
request.session.delete() # 只删客户端
request.session.flush() # 服务端 客户端都删
三、CBV添加装饰器的三种方式
首先需要添加专门的装饰器模块
from django.utils.decorators import method_decorator
方式1
直接在类中的某个方法上添加
class MyLoginView(views.View):
@method_decorator(login_auth)
def get(self, request):
return HttpResponse("from CBV get view")
方式2
直接在类名上添加并指定
@method_decorator(login_auth, name='get')
class MyLoginView(views.View):
def get(self, request):
return HttpResponse("from CBV get view")
方式3
重写dispatch方法并添加作用于类中所有的方法
class MyLoginView(views.View):
@method_decorator(login_auth)
def dispatch(self, request, *args, **kwargs):
return super().dispatch(request,*args,**kwargs)
四、django中间件常见方法
django中间件的使用场景:只要是全局相关的功能都可以在中间件中编写
1.创建一个任意名称的文件夹
2.在该文件夹内创建一个任意名称的py文件
3.在该py文件内编写中间件类
4.配置文件中注册
# 在settings.py中配置
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
# 'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
'mid.mid1.Mid', #自定义的中间件Mid
'mid.mid1.Mid1', #自定义的中间件Mid1
]
django不单有七个中间件并且每个都有很多功能和方法,除此之外django还支持自定义中间件并提供五个可以自定义的方法
process_request
process_request有一个参数,就是request,这个request和视图函数中的request是一样的
1.中间件的process_request方法是在执行视图函数之前执行的。
2.当配置多个中间件时,会按照MIDDLEWARE中的注册顺序,也就是列表的索引值,从前到后依次执行的。
3.不同中间件之间传递的request都是同一个对象
process_response
定义process_response方法时,必须给方法传入两个形参,request和response。多个中间件中的process_response方法是按照MIDDLEWARE中的注册顺序倒序执行的。
process_view
该方法有四个参数:
1.request是HttpRequest对象。
2.view_func是Django即将使用的视图函数。
3.view_args是将传递给视图的位置参数的列表.
4.view_kwargs是将传递给视图的关键字参数的字典。
Django会在调用视图函数之前调用process_view方法。
它应该返回None或一个HttpResponse对象。 如果返回None,Django将继续处理这个请求,执行任何其他中间件的process_view方法,然后在执行相应的视图。 如果它返回一个HttpResponse对象,那么将不会执行Django的视图函数,而是直接在中间件中掉头,倒叙执行一个个process_response方法,最后返回给浏览器
process_template_response
它的参数,一个HttpRequest对象,response是TemplateResponse对象
process_template_response是在视图函数执行完成后立即执行,但是它有一个前提条件,那就是视图函数返回的对象有一个render()方法
process_excepton
该方法两个参数:
一个HttpRequest对象
一个exception是视图函数异常产生的Exception对象。
这个方法只有在视图函数中出现异常了才执行,它返回的值可以是一个None也可以是一个HttpResponse对象。如果是HttpResponse对象,Django将调用模板和中间件中的process_response方法,并返回给浏览器,否则将默认处理异常。如果返回一个None,则交给下一个中间件的process_exception方法来处理异常。它的执行顺序也是按照中间件注册顺序的倒序执行。
eg:
from django.utils.deprecation import MiddlewareMixin
class Mid(MiddlewareMixin):
def process_request(self, request):
print('Mid中的process_request')
def process_response(self, request, response):
print('Mid中的process_response')
return response
def process_view(self, request, view_func, view_args, view_kwargs):
print('Mid中的process_view')
def process_exception(self,request, exception):
print('Mid中的process_exception')
def process_template_response(self, request, response):
print('Mid中的process_template_response')
class Mid1(MiddlewareMixin):
def process_request(self, request):
print('Mid1中的process_request')
def process_response(self, request, response):
print('Mid1中的process_response')
return response
def process_view(self, request, view_func, view_args, view_kwargs):
print('Mid1中的process_view')
def process_exception(self, request, exception):
print('Mid1中的process_exception')
def process_template_response(self, request, response):
print('Mid1中的process_template_response')
五、csrf
跨站请求伪造(CSRF)与跨站请求脚本正好相反。跨站请求脚本的问题在于,客户端信任服务器端发送的数据。跨站请求伪造的问题在于,服务器信任来自客户端的数据。
针对csrf相关的校验有很多种方式 django只是提供了一些而已
1.form表单
在编写form表单时在form标签中带上{% csrf_token %}即可
<form action="" method="post">
{% csrf_token %}
{% for foo in form %}
<div class="row">
<label>{{ foo.label }}</label>
{{ foo }}<span style="color: red">{{ foo.errors.0 }}</span>
</div>
{% endfor %}
<input type="submit" value="注册" class="btn-success btn btn-default">
</form>
2.ajax请求
方式1
页面任意位置
{% csrf_token %}
发送请求时携带上csrf_token
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登录</title>
<link rel="stylesheet" href="/static/bootstrap-3.4.1-dist/css/bootstrap.css">
</head>
<body>
<div class="container">
<form action="" method="post">
{% csrf_token %}
{% for foo in form %}
<div class="row">
<label>{{ foo.label }}</label>
{{ foo }}<span style="color: red">{{ foo.errors.0 }}</span>
</div>
{% endfor %}
<input type="button" id='loginbtn' value="登录" class="btn-success btn btn-default">
</form>
</div>
<script>
$(function () {
$('#loginbtn').click(function () {
$.ajax({
url:'',
type:"POST",
headers:{'X-CSRFToken': $('input[name="csrfmiddlewaretoken"]').val() }, # 此处和下方data中的csrfmiddlewaretoken二选一
data:{
'csrfmiddlewaretoken':$('input[name="csrfmiddlewaretoken"]').val()
'username':$('#id_username').val(),
'password':$('#id_password').val()
},
success:function (arg) {
}
})
})
})
</script>
</body>
</html>
方式2
模板语法直接获取
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登录</title>
<link rel="stylesheet" href="/static/bootstrap-3.4.1-dist/css/bootstrap.css">
</head>
<body>
<div class="container">
<form action="" method="post">
{% csrf_token %}
{% for foo in form %}
<div class="row">
<label>{{ foo.label }}</label>
{{ foo }}<span style="color: red">{{ foo.errors.0 }}</span>
</div>
{% endfor %}
<input type="button" id='loginbtn' value="登录" class="btn-success btn btn-default">
</form>
</div>
<script>
$(function () {
$('#loginbtn').click(function () {
$.ajax({
url:'',
type:"POST",
headers:{'X-CSRFToken': {{ csrf_token }} }, # 此处和下方data中的csrfmiddlewaretoken二选一
data:{
'csrfmiddlewaretoken':{{ csrf_token }}
'username':$('#id_username').val(),
'password':$('#id_password').val()
},
success:function (arg) {
}
})
})
})
</script>
</body>
</html>
423
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
