Django大回顾 - 8 中间件、csrf认证相关

最新推荐文章于 2024-09-13 14:23:42 发布
最新推荐文章于 2024-09-13 14:23:42 发布
阅读量490 收藏
点赞数
文章标签: django 中间件 csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69962105/article/details/134842274
版权

【1】中间件

中间件是什么?

        中间件顾名思义,是介于request与response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出。因为改变的是全局,所以需要谨慎实用,用不好会影响到性能

 

作用:

        1 、全局的请求拦截---》如果它没有登录---》就不允许访问
        2、 拦截所有请求,获取请求的ip地址
        3、 记录所有用户的访问日志
        4、 统一在响应头中加数据

        【1.1】中间件方法

# 1、
process_request(self,request) # 请求来了,就会走

# 2、
process_response(self, request, response) # 请求走了就会走

# 3、
process_view(self, request, callback, callback_args, callback_kwargs) #视图函数执行之前调用

# 4、
process_template_response(self,request,response) # 渲染模板之前会走

# 5、
process_exception(self, request, exception) # 视图函数中出现异常了才执行

        【1.2】django内置中间件

'''
django内置一些中间件---》增强了djagno的功能
request.session
request.user
post 请求提交数据,拦截了---》csrf认证

'''


MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    # session相关的中间件
    'django.contrib.sessions.middleware.SessionMiddleware',
    # 公共中间件---》访问不带 / 路径,如果有 带 / 的路径,他会让你重定向到这个地址
    'django.middleware.common.CommonMiddleware',
    # csrf认证    xss  cors
    'django.middleware.csrf.CsrfViewMiddleware',
    # 认证:request.user--->这个中间件做的
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    # django的消息框架---》flask--》闪现
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

        【1.3】自定义中间件

# 自定义中间件来使用,记录用户的请求地址和user-agent
class SaveRemoteAddr(MiddlewareMixin):
    def process_request(self, request):
        # request 是WSGIRequest 的对象
        # print(request.session) # 一定要保证,session的中间件要在上面
        # 这个request 就是当次请求的request
        # 取出ip
        ip = request.META.get('REMOTE_ADDR')
        user_agent = request.META.get('HTTP_USER_AGENT')
        print(ip)
        print(user_agent)
        # return HttpResponse('不让你看了') # 不会再走视图函数了
        '''
        能返回的情况:
            1 None,表示执行完这个代码,继续往后执行---》还有中间件,继续执行--》最后进视图函数
            2 四件套,后续不走了,中间件的process_response---》直接返回给浏览器了
        '''

        【1.4】中间件,在响应头加入访问时间

import datetime
class AddHeaderMiddleWare(MiddlewareMixin):
    def process_response(self, request, response):
        # request中有没有session? 有
        # request 如果在视图函数中,往request中放了值,在这里,就可以取出来 request.xxx
        # print(request.xxx)
        # 所有cookie中都带
        # response.set_cookie('xxxxx', 'asdfds')
        # 写入到响应头,访问服务端的时间
        response['ttt'] = datetime.datetime.now()
        return response  # 一定要返回response对象

【2】csrf认证相关

1、csef:跨站请求伪造

 

2、攻击原理:

            -在同一个浏览器中,如果登录了A网站,没有退出,在B网站中,向A网站发送请求,浏览器会自动携带A网站的cookie,对于A网站后端来讲, 它就分辨不清到底是用户真实发的请求,还是黑客网站发的请求【都会携带用户真实的cookie】
     

3、如何防范:

        

# 如何防范:
	-django解决了这个问题---》只要发送post请求,必须携带一个csrf_token 随机字符串--->后端给的
    -这个随机字符串可以带的位置?
    	1 请求体中(urlencoded,form-data):{csrfmiddlewaretoken:asdfasdf}
        2 放在请求头中:'X-CSRFToken':asdfasdfasd
        3 ajax提交数据:默认是urlencoded,放在请求体中没有任何问题
           $.ajax({
            method: 'post',
            data: {username, password, csrfmiddlewaretoken},
            success: function (res) {
                console.log(res)
            }
        })
            
       4 ajax提交,使用json格式---》就不能放在请求体中
    	只能放在请求头中:
          $.ajax({
            method: 'post',
            headers:{'X-CSRFToken':csrfmiddlewaretoken},
            contentType: 'application/json',
            data: JSON.stringify({username, password}),
            success: function (res) {
                console.log(res)
            }
        })
            
            
            
# post 提交的数据,都是从request.POST中取,前提是:必须是urlencoded和form-data格式
# 如果是json是取不到的


# 如果使用ajax发送请求
	redirect  render就用不了了
    尽量使用JsonResponse

m0_69962105
关注
Python进阶3:Django2-数据库管理/后台管理/前台管理
Fancyll_Lee的博客
03-05 1941
文章目录1.项目数据库的管理1.1 创建数据库模型1.2 数据库模型基本操作(增删改查)1.2.1 导入数据库1.2.2 增加数据信息1.2.3 查看数据库信息1.2.4 删除1.3 添加关联对象2. 自定义模型加入后台管理2.1 自定义模型(Book类和Hero类)加入后台管理2.2 界面内容汉化2.3 自定义管理页面2.3.1 列表页展示2.3.2 修改添加页属性3. 前台管理3.1 URLconf路由管理3.2 视图函数处理业务逻辑3.2.1 html模板显示3.2.2 显示书籍的详情页3.3 模板
一篇博客搞定Django基础
热门推荐
wangfan741的博客
10-26 1万+
web框架本质 一. scoket 回顾 1.TCP/UDP协议 TCP:一种面向连接的、可靠的、传输层通信协议(比如:打电话);优点:可靠,稳定,传输完整稳定,不限制数据大小;缺点:慢,效率低,占用系统资源高,一发一收都需要对方确认 应用:Web浏览器,电子邮件,文件传输,大量数据传输的场景 服务端:七步: 创建对象–>绑定ip和端口号–>开启监听–>三次握手–>处理收发逻辑–>四次挥手–>退还端口 import socket #1.创建对象 sk = socket.
Django中间件与Auth认证模块
m0_64599482的博客
12-09 407
中间件可以定义五个方法,分别是:(主要的是process_request和process_response) process_request process_view process_template_response process_exception process_respon process_response
Django中间件、Auth认证
weixin_30681121的博客
09-17 97
中间件 一:什么是中间件 是介于request与response处理之间的一道处理过程 二:中间件的作用 如果你想修改请求,例如被传送到view中的HttpRequest对象。 或者你想修改view返回的HttpResponse对象,这些都可以通过中间件来实现。 可能你还想在view执行之前做一些操作,这种情况就可以用 middleware来实现。 默认的中间件如下,在...
Django采用中间件认证
linqunbin的博客
06-21 632
如果不用中间件认证,有两种办法可以做认证: 1 通过login_required,在views.py里做认证 from django.contrib.auth.decorators import login_required @login_required(login_url='login') def reply_del(request, comment_pk): 执行这个函数之前,先会检查...
Django 自定义权限管理系统(通过中间件认证
宇哲
05-10 1万+
1.  创建工程文件, 修改setting.py文件     django-admin.py startproject project_name     特别是在 windows 上,如果报错,尝试用 django-admin 代替 django-admin.py 试试      setting.py 最终的配置文件   import os import sys # Build path...
python web Django框架自带的用户认证中间件
weixin_45047081的博客
11-21 692
中间名:django.contrib.auth 所在位置:项目目录下的settings.py 注册用户(普通用户): from django.contrib.auth.models import User #所在库 new_user = User.objects.create_user(username=username,password=password) new_user.save() 注:调用自带中间件前,需先进行数据迁移,迁移完成后,会在数据库中生成多个中间件所需库,例:auth_user 库,
【python】Django系列Day06--Django中间件介绍
weixin_53000329的博客
05-14 1124
前言一、中间件的定义二、Django内置中间件简介三、开发中间件四、中间件调用顺序总结 前言 一、中间件的定义 Django中的中间件django中的中间件是一个轻量级、底层的插件系统,可以介入Django的请求和响应处理过程,修改Django的输入或输出。中间件的设计为开发者提供了一种无侵入式的开发方式,增强了Django框架的健壮性。我们可以使用中间件,在Django处理视图的不同阶段对输入或输出进行干预。 二、Django内置中间件简介 1. django.middleware
Django知识回顾-05
zhoujiajia的博客
12-05 1304
cookie和session的使用、中间件csrf认证相关、Auth的使用、orm的链接方式、中间件+logru案例、auth模块案例、IP访问频率限制案例
浅谈Python的Django框架中的缓存控制
09-21
在介绍Django中的缓存控制之前,我们先回顾一下基本的缓存概念。缓存是一种用于存储经常访问的数据副本的技术,目的是为了减少获取数据所需的时间。在网络应用中,缓存可以位于客户端、服务器端或者两者之间。根据...
Django 跨域
weixin_57047479的博客
06-02 252
一、 昨日内容回顾 1、 JsonResponse return JsonResponse(data, safe=False, json_dumps_params={'ensure_ascii': False}) 2、 HttpResponse return HttpResponse(json.dumps(data, ensure_ascii=False)) 3、 类视图 类视图: 结构清晰 ​ 更强的复用性 需要继承View: from django.views impo...
Django实战【六】—权限管理系统rbac组件实现
饶一熊的博客
03-19 3389
一、权限管理rbac组件 1.权限管理组件的实现思路 表结构分析 rbac的意思之前我详细提过,就是基于角色的访问权限控制,其实说白了啊,就是针对不同的用户角色, 给他们分配了访问哪些url的权利,因为在实际工作场景中,不同分工的人之间的业务也应该是各自来展开的。 也就是说权限本质上是一个url访问路径,而在我们实现的rbac组件中,权限是分配到对应的角色下,然后角色和用户之间又是一层多对多的关系。 有人会问,既然你是想要给用户分配不同的权限,那么为什么不直接单独给用户来分配权限,而是要通过角色表来呢?其实
基于Django中间件的权限认证组件
wuliwawa的博客
05-16 1075
用户权限认证组件包括权限model类和中间件类 model类介绍 Permission 权限类 权限基本信息包括title:权限名称 url:权限具体url Role 角色类 角色类包括title:角色名称 permission:角色的权限 权限和角色多对多关系 用户类需要对Role类设置多对多映射 Whitelist 白名单类 白名单包括title:权限名称 url:权限...
基于python+django+vue的农业管理系统
计算机学姐的博客
09-13 1006
【2025最新】基于python+django+vue+MySQL的农业管理系统,前后端分离。
Django-Celery-Flower实现异步和定时爬虫及其监控邮件告警
weixin_50556117的博客
09-11 1038
【代码】Django-Celery-Flower实现异步和定时爬虫及其监控邮件告警。
基于python+django+vue的视频点播管理系统
最新发布
计算机学姐的博客
09-13 1072
【2025最新】基于python+django+vue+MySQL的视频点播管理系统,前后端分离。
Django日志
brucexia的专栏
09-10 1252
下面我们打开该日志文件查看一下,如图11.4中的箭头和标识所示,虽然Logger日志信息文件opt.log中输出了很多信息,但还是可以找到【代码11-9】中通过logger对象输出的调试信息。使用日志记录的方法很简单,在Django项目的配置文件setting.py中配置好Logger、Handle、Filter和Formatters后,就可以将需要的日志记录的调用放入代码中。日志记录还可以包含有用的元数据,该元数据描述了正在记录的事件,可以包括详细信息,例如堆栈跟踪或错误代码。如果没有,该消息将被忽略。
Java 学习路线:语言、框架、中间件与数据库
qq_64272546的博客
09-13 1114
Spring Boot 是 Spring 框架的子项目,可简化 Spring 应用的开发与配置。通过提供一系列默认配置和自动化配置功能,Spring Boot 极大地减轻了开发者的工作量。Spring Cloud 是一系列框架的集合,用于开发分布式系统和微服务架构。它涵盖了负载均衡、服务发现、配置管理、分布式追踪等功能。MyBatis-Plus 是 MyBatis 的增强工具,它在 MyBatis 的基础上提供了大量的易用功能,如单表 CRUD 操作、分页、代码生成器等,旨在简化数据库操作。
深度解析Django CSRF认证机制与实现过程
2. Django中的CSRF中间件 Django提供了一套强大的安全特性,其中CSRF中间件作为默认的安全措施之一。在Django项目的配置文件`settings.py`中的`MIDDLEWARE_CLASSES`列表中,`CsrfViewMiddleware`被列为一个内置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值