一起学习Django框架(十)Django中间件;浅谈CSRF_TOKEN

最新推荐文章于 2024-06-11 00:17:35 发布
最新推荐文章于 2024-06-11 00:17:35 发布
阅读量1.4k 收藏 10
点赞数 4
分类专栏: Django 文章标签: python 中间件 csrf Django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46958731/article/details/115332287
版权
本文介绍了Django中间件的概念、作用及自定义中间件的实现,包括process_request、process_response、process_view和process_exception方法。接着详细讨论了CSRF攻击及其防范措施,如验证HTTP Referer字段、添加token验证和自定义HTTP头验证。Django通过中间件实现CSRF保护,首次请求时生成token并存于cookie,后续POST请求通过对比token来防止CSRF攻击。文章还讲述了如何在Django中局部禁用和启用CSRF校验。
摘要由CSDN通过智能技术生成

目录


Django中间件(MiddleWare)

中间件本身是一个很大的范围,比如:数据库中间件、服务器中间件、消息队列中间件等等…

我们这里了解到的是Django的中间件。

一、什么是中间件

Django中间件:介于request请求与response响应中间的一道处理过程,相对比较轻量级,并且在全局上改变Django的输入与输出。因为改变的是全局,所以需要谨慎实用,用不好会影响到性能

Django官方对中间件的定义:

Middleware is a framework of hooks into Django’s request/response processing.
中间件是Django请求/响应处理的一个钩子框架。
It’s a light, low-level “plugin” system for globally altering Django’s input or output.
它是一个轻量级的、低级的“插件”系统,用于全局改变Django的输入或输出。

二、中间件的作用

如果你想修改请求,例如被传送到view中的HttpRequest对象。 或者你想修改view返回的HttpResponse对象,这些都可以通过中间件来实现。

能你还想在view执行之前做一些操作,这种情况就可以用middleware来实现。

Django默认的中间件:在django项目的settings.py文件,有一个 MIDDLEWARE_CLASSES 变量,其中每一个元素就是一个中间件,如下

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

中间件的执行顺序:

在这里插入图片描述
每一个中间件在请求来的时候或者响应的时候都具有一定的作用。

三、自定义中间件

中间件里面主要有以下方法:

process_request(self,request)

process_view(self, request, callback, callback_args, callback_kwargs)

process_template_response(self,request,response)

process_exception(self, request, exception)

process_response(self, request, response)

3.1 process_request与process_response方法

当用户发起请求的时候会依次经过所有的的中间件,这个时候的请求首先进过process_request,最后到达views的函数中,views函数处理后,在依次穿过中间件,这个时候是process_response,最后返回给请求者。

我们要自己定义中间件的话,需要写一个类,并且继承MiddlewareMixin

from django.utils.deprecation import MiddlewareMixin

第一步:需要建立一个py文件来编写我们的中间件,建议在app应用下面创建。

MyMiddleWare.py

from django.utils.deprecation import MiddlewareMixin

class Md1(MiddlewareMixin):
    def process_request(self,request):
        print('请求到达了Md1中间件')

    def process_response(self,request,response):
        print('Md1中间件响应了请求')
        return response

class Md2(MiddlewareMixin):
    def process_request(self,request):
        print('请求到达了Md2中间件')

    def process_response(self,request,response):
        print('Md2中间件响应了请求')
        print(response.content)
        return response

第二步:在settings.py文件里面加入我们自定义的中间件

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'app01.MyMiddleWare.Md1',
    'app01.MyMiddleWare.Md2',
]

第三步:定义视图函数

def index(request):
    return HttpResponse('Hello World!')

当我们浏览器朝服务端发送请求,必定会经过我们刚才定义的中间件
在这里插入图片描述
process_response方法的reuqest则是请求,response则是视图函数返回的内容到了中间件里面,然后由中间件return出去。所以我们是可以在process_response里面不return视图函数返回的内容,自己定义内容返回。

从下图看,正常的情况下按照绿色的路线进行执行,假设中间件1有返回值,则按照红色的路线走,直接执行该类下的 process_response 方法返回,后面的其他中间件就不会执行。

在这里插入图片描述
也就是说中间件的process_request方法使用了return,那么其后面的中间件将不再执行,直接执行该中间件和其上面中间件的process_response方法,最终将某个process_request里面的return值返回给请求者。

由此总结:

  • 中间件的process_request方法是在执行视图函数之前执行的。
最低0.47元/天 解锁文章
Simple子夜
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
关于django中的csrf_token
weixin_43700349的博客
05-01 1103
什么是csrf_token csrf_tokendjango的一种安全机制,增加验证,是否是通过get请求先访问页面,然后再进行的提交,否则无法直接提交 当以form表单提交时,django会自动处理csrf_token 但是当使用ajax提交时,不会像form表单那样自动处理,必须手动获取 如何避免csrf_token报错 在from表单中加入{% csrf_token %} <form action='{% url 'LOGIN' %}' method="post"> ..
csrf-token
weixin_30807677的博客
06-05 227
全文引用ta的博客:https://blog.csdn.net/bigdaddy_maybe/article/details/82747274 在学习django的时候,在template中写form时,出现错误。要加{% csrf_token %}才可以,之前一直也没研究,只是知道要加个这个东西,具体是什么也不明白。 目的: csrf_token 是为了防止csrf(跨站请求伪造),什么是csr...
CSRF 攻击的应对之道
sarck3的专栏
02-12 1064
简介: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSRF 的安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性,然后就目前常用的几种防御方法进行分析
Django 安全性与防御性编程:如何保护 Django Web 应用
最新发布
Gefangenes的博客
06-11 936
使用 Django ORM 提供的查询方法,如。
django csrftoken
weixin_30662849的博客
04-04 284
CSRF(跨站请求伪造) 背景知识:浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。浏览器的同源策略并不能阻止CSRF攻击,因为浏览器不会停止js发送请求到服务端,只是在必要的时候拦截了响应的内容。或者说浏览器收到响应之前它不知道该不该拒绝。 攻击过程: 假设abc用...
CSRF TOKEN
hck341204的专栏
02-14 206
[code="java"]package com.uncle5.pubrub.web.common; import java.util.UUID; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpSession; public final class CsrfToken...
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
django中间件生成csrf_token
fksfdh的博客
03-04 2426
class MiddlewareMixin: #django启动时就执行,与用户无关 def __init__(self, get_response=None): self.get_response = get_response super().__init__() def __call__(self, request): re...
Django:Ajax与csrf_token
HR_tigerking的博客
12-20 979
起因:Ajax提示403错误 闲言碎语:据课程结束还有一周多,js杀我,要加油加油。 CSRF(Cross Site Request Forgery protection),中文简称跨站请求伪造。 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局...
django 中的 csrf_token
bigdaddy_maybe的博客
09-17 4903
学习django的时候,在template中写form时,出现错误。要加{% csrf_token %}才可以,之前一直也没研究,只是知道要加个这个东西,具体是什么也不明白。 目的: csrf_token 是为了防止csrf(跨站请求伪造),什么是csrf,这篇文章讲的很好:这里。文章最后也说到了,防止csrf的手段就有给form加个token。 更简单的说:就是防止黑客...
csrftoken
rikka
10-28 1131
csrftoken CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息。 解决csrf攻击的最...
Django---csrf_token
weixin_30783629的博客
12-03 513
1、csrf_token的作用 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。 2、设置csrf_token 对于django中设置防跨站请求伪造功能有分为全局和局部。 (1)全局 settings.py文件中: MIDDLEWARE=[  ......  django.middle...
CSRF攻击及防止
zhangmoyan9527的博客
08-14 1064
  CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。   CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证   防止 CSRF 攻...
CSRF的攻击与防御
Java/Android/IOS/前端/云计算
10-22 2830
发布时间:2012年08月28日 分享 推荐打印收藏 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
Django的cs rf token验证
qq_41048761的博客
03-12 449
CSRF(Cross Site Request Forgery protection),中文简称跨站请求伪造。django中对POST请求,csrf会进行认证处理,csrf认证机制是防御跨站伪造功能,在没有任何处理的前提下,POST请求会报错。 Django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 token,把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token,这样就能避免被 CSRF 攻击。 例子如下: login.html页面: 浏
Django中的“csrf_token”作用
qq_43453035的博客
02-29 836
简介: django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。 全局:中间件 django.middleware.csrf.CsrfViewMiddleware; 局部:@csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便se...
django的form表单及ajax提交的数据中添加认证的csrfmiddlewaretoken
旷古的寂寞的博客
09-28 5982
 1. 对于ajax提交数据,把下面的代码加入到js的头部,可以保证ajax执行时自动提交参数csrfmiddlewaretoken。 $.ajaxSetup({data: {csrfmiddlewaretoken: '{{ csrf_token }}' }}); 2. 对于form表单提交数据,在表单内部加入{% csrf_token %}标签,会自动生成一个input标签 &lt;f...
csrf token作用
热门推荐
neu_xiaolu的博客
06-05 1万+
作用: 是防御CSRF攻击。 如何生成? 在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。 应用: 表单中:添加隐藏字段csrf_token,来启用csrftoken验证 <form action="/add-...
django {% csrf_token %}
05-16
Django中的CSRF(Cross Site Request Forgery)是一种攻击方式,攻击者利用用户已登录的状态,伪造用户的请求,从而执行一些恶意操作。为了防止这种攻击,Django提供了CSRF保护机制。 在Django中,使用{% csrf_token %}标签可以生成一个随机的CSRF令牌。这个令牌会在提交表单时一起提交给服务器,服务器会验证这个令牌是否与用户登录信息匹配,如果不匹配,则认为这是一次恶意请求,服务器会拒绝执行该请求。 使用{% csrf_token %}标签很简单,只需要在表单中添加该标签即可: ``` <form method="post"> {% csrf_token %} <!-- 其他表单元素 --> <button type="submit">提交</button> </form> ``` 在提交表单时,Django会自动将CSRF令牌添加到表单数据中,并在服务器端验证令牌的有效性。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值