python-django_session原理流程_django_中间件_CSRF-跨站请求伪造

最新推荐文章于 2024-03-12 17:26:40 发布
最新推荐文章于 2024-03-12 17:26:40 发布
阅读量254 收藏
点赞数
分类专栏: python 文章标签: python 中间件 django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31455841/article/details/109273068
版权

django

1. django的session原理流程

在这里插入图片描述

2. django 中间件

1. 中间件简介

"""
django中间件是django的门户
    1.请求来的时候需要先经过中间件才能到达真正的django后端
    2.响应走的时候最后也需要经过中间件才能发送出去

django自带七个中间件
"""

# 研究django中间件代码规律
	django 中的中间件(middleware),在django中,中间件其实就是一个类,在请求到来和结束后,django会根据自己的规则在合适的时机执行中间件中相应的方法。
	在django项目的settings模块中,有一个 MIDDLEWARE_CLASSES 变量,其中每一个元素就是一个中间件
    
MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

class SessionMiddleware(MiddlewareMixin):
    def process_request(self, request):
        session_key = request.COOKIES.get(settings.SESSION_COOKIE_NAME)
        request.session = self.SessionStore(session_key)
        
    def process_response(self, request, response):
        return response
      
class CsrfViewMiddleware(MiddlewareMixin):
  	def process_request(self, request):
        csrf_token = self._get_token(request)
        if csrf_token is not None:
            # Use same token next time.
            request.META['CSRF_COOKIE'] = csrf_token
            
    def process_view(self, request, callback, callback_args, callback_kwargs):
        return self._accept(request)

    def process_response(self, request, response):
        return response
      
class AuthenticationMiddleware(MiddlewareMixin):
    def process_request(self, request):
        request.user = SimpleLazyObject(lambda: get_user(request))
        
"""
django支持程序员自定义中间件并且暴露给程序员五个可以自定义的方法
	1. 必须掌握
		process_request
		
		process_response
	2. 了解即可
		process_view
			
		process_template_response
		
		process_exception
"""

2. 自定义中间件

自定义步骤:
	-写一个类,继承MiddlewareMixin
    -里面写方法process_request(请求来了,一定会触发它的执行)
    -在setting中配置(注意,放在前和放在后)
    	MIDDLEWARE = [
            ...
    		'app01.mymiddle.MyMiddleware1',
            ...
		]
        
"""
1. 在项目名或者应用名下创建一个任意名称的文件夹
2. 在该文件夹内创建一个任意名称的py文件
3. 在该py文件内需要书写类(这个类必须继承MiddlewareMixin)
	然后在这个类里面就可以自定义五个方法了
	(这五个方法并不是全部都需要书写,用几个写几个)
4. 需要将类的路径以字符串的形式注册到配置文件中才能生效
    MIDDLEWARE = [
        'django.middleware.security.SecurityMiddleware',
        'django.contrib.sessions.middleware.SessionMiddleware',
        'django.middleware.common.CommonMiddleware',
        'django.middleware.csrf.CsrfViewMiddleware',
        'django.contrib.auth.middleware.AuthenticationMiddleware',
        'django.contrib.messages.middleware.MessageMiddleware',
        'django.middleware.clickjacking.XFrameOptionsMiddleware',
        '你自己写的中间件的路径1',
        '你自己写的中间件的路径2',
        '你自己写的中间件的路径3',
    ]
"""
# 中间件方法解析
1. process_request 
    1. 请求来的时候需要经过每一个中间件里面的process_request方法
       结果的顺序是按照配置文件中注册的中间件从上往下的顺序依次执行
    2. 如果中间件里面没有定义该方法,那么直接跳过执行下一个中间件
    3. 如果该方法返回了HttpResponse对象,那么请求将不再继续往后执行
       而是直接原路返回(校验失败不允许访问...)
       process_request方法就是用来做全局相关的所有限制功能
			
2. process_response
    1. 响应走的时候需要结果每一个中间件里面的process_response方法
       该方法有两个额外的参数request,response
    2. 该方法必须返回一个HttpResponse对象
    3. 默认返回的就是形参response
    4. 你也可以自己返回自己的
    5. 顺序是按照配置文件中注册了的中间件从下往上依次经过
    
3. process_view 
    路由匹配成功之后执行视图函数之前会自动执行 (callback就是视图函数)
    顺序是按照配置文件中注册的中间件从上往下的顺序依次执行
    def process_view(self, request, callback, callback_args, callback_kwargs):
        print(callback)
        print(callback_args)
        print(callback_kwargs)
        res=callback(request)
        print("中间件的process_view")
        return res
			
4. process_template_response
    返回的HttpResponse对象有render属性的时候才会触发
    顺序是按照配置文件中注册了的中间件从下往上依次经过

5. process_exception
    当视图函数中出现异常的情况下触发 (全局异常捕获)
    顺序是按照配置文件中注册了的中间件从下往上依次经过  
    应用场景: 记录日志,哪个ip地址,访问哪个路径,出现异常
    # 全局异常捕获,返回4开头的
    def process_exception(self, request, exception):
        print(exception)
        return render(request,'error.html')
 
# 注意    
	如果在第一个process_request方法就已经返回了HttpResponse对象,那么响应走的时候会直接走同级别的process_reponse返回
    
# 多个中间件的执行顺序
	请求来的时候从上往下执行: process_request
    请求走的时候从下往上执行: process_response
        
# process_request 应用场景
	写一个中间件,不管前端用什么编码,在requset.data中都有post的数据
    频率限制(限制某个ip地址,一分钟只能访问5次)
    登录认证(只要没登录,重定向到login路径)、
    记录用户访问日志(ip,时间,访问路径)
    
# process_response 应用场景 内部有response对象
	统一给所有(某几个路径)加cookie
    统一给所有(某几个路径)加响应头

3. CSRF_TOKEN跨站请求伪造

1. 示例

# 钓鱼网站
	我搭建一个跟正规网站一模一样的界面(中国银行)
	用户不小心进入到了我们的网站,用户给某个人打钱
	打钱的操作确确实实是提交给了中国银行的系统,用户的钱也确确实实减少了
	但是唯一不同的时候打钱的账户不适用户想要打的账户变成了一个莫名其妙的账户

# 大学英语四六级
	考之前需要学生自己网站登陆缴费

# 内部本质
	我们在钓鱼网站的页面 针对对方账户 只给用户提供一个没有name属性的普通input框
	然后我们在内部隐藏一个已经写好name和value的input# 如何规避上述问题
	csrf跨站请求伪造校验
		网站在给用户返回一个具有提交数据功能页面的时候会给这个页面加一个唯一标识
		当这个页面朝后端发送post请求的时候 我的后端会先校验唯一标识
        如果唯一标识不对直接拒绝(403 forbbiden)如果成功则正常执行

2. csrf_token校验

# django解决了csrf攻击 
	中间件:django.middleware.csrf.CsrfViewMiddleware
    用户每次发送post请求,都需要携带csrf_token随机字符串 

# form表单校验
	form表单提交 
    	在form表单中 {% csrf_token %}
        
	# 示例
    <form action="" method="post">
        {% csrf_token %}
        <p>username:<input type="text" name="username"></p>
        <p>target_user:<input type="text" name="target_user"></p>
        <p>money:<input type="text" name="money"></p>
        <input type="submit">
	</form>
        
# ajax校验
    # 方式一:放到data中 利用标签属性查找获取随机字符串
     $.ajax({
            url: '/csrf_test/',
            method: 'post',
            data: {'name': $('[name="name"]').val(),
                   'password': $('[name="password"]').val(),
                   'csrfmiddlewaretoken':$('[name="csrfmiddlewaretoken"]').val()
            },
            success: function (data) {
                console.log('成功了')
                console.log(data)

            },
            error: function (data) {
                console.log('xxxxx')
                console.log(data)
            }
        })
        
	# 方式二:放到data中 利用模版语法提供的快捷书写
		data: {"username":'jason','csrfmiddlewaretoken':'{{ csrf_token }}'},
            
	# 方式三:放到请求头中 利用模版语法提供的快捷书写
		headers: {'X-CSRFToken':'{{ csrf_token }}'},

3. 代码演示

function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');

function csrfSafeMethod(method) {
  // these HTTP methods do not require CSRF protection
  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

$.ajaxSetup({
  beforeSend: function (xhr, settings) {
    if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
      xhr.setRequestHeader("X-CSRFToken", csrftoken);
    }
  }
});

4. csrf装饰器

# 在视图函数上加装饰器
	1. 网站整体都不校验csrf 就单单几个视图函数需要校验
	   @csrf_protect  需要校验  
	2. 网站整体都校验csrf 就单单几个视图函数不校验
       @csrf_exempt   忽视校验
    
from django.views.decorators.csrf import csrf_exempt,csrf_protect
from django.utils.decorators import method_decorator

# FBV
# 全局启用,局部禁用(中间件不能注释,这个视图函数,已经没有csrf校验了)
@csrf_exempt
def csrf_test(request):
    if request.method=='GET':
        return render(request,'csrf_test.html')
    else:
        name=request.POST.get('name')
        password=request.POST.get('password')
        print(name)
        print(password)
        return HttpResponse('登录成功')

# 全局禁用,局部使用csrf
@csrf_protect
def csrf_test(request):
    if request.method=='GET':
        return render(request,'csrf_test.html')
    else:
        name=request.POST.get('name')
        password=request.POST.get('password')
        print(name)
        print(password)
        return HttpResponse('登录成功')

# 装饰器本质调用方式 在urls.py中
	path('csrf_test/', csrf_exempt(views.csrf_test))
    
# CBV
# 针对csrf_protect符合装饰器的三种玩法
@method_decorator(csrf_protect,name='post')
class MyCsrfToken(View):
    @method_decorator(csrf_protect)
    @method_decorator(csrf_exempt)   # 针对csrf_exempt只能给dispatch方法加才有效
    def dispatch(self, request, *args, **kwargs):
        return super(MyCsrfToken, self).dispatch(request,*args,**kwargs)

    def get(self,request):
        return HttpResponse('get')

    @method_decorator(csrf_protect)
    def post(self,request):
        return HttpResponse('post')

4. 模块 importlib

# 示例一
import importlib

# 该方法最小只能到py文件名
res = 'myfile.b'
ret = importlib.import_module(res) <=> from myfile import b

# 示例二
def send_all(content):
    
    # path_str = 'notify.email.Email'
    for path_str in settings.NOTIFY_LIST:  
        
        # module_path = 'notify.email'  class_name = 'Email'
        module_path,class_name = path_str.rsplit('.',maxsplit=1)
        
        # 1. 利用字符串导入模块
        module = importlib.import_module(module_path)  # from notify import email
        # 2. 利用反射获取类名
        cls = getattr(module,class_name)  # Email、QQ、Wechat
        # 3. 生成类的对象
        obj = cls()
        # 4. 利用鸭子类型直接调用send方法
        obj.send(content)
I believe I can fly~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
djangosession原理流程,自定义中间件,csrf跨站请求伪造
yikenaoguazi的博客
10-23 205
day75一.昨日回顾二.今日内容1.djangosession原理流程2.自定义中间件3.process_request,process_response,process_view,process_exception4.CSRF_TOKEN跨站请求伪造跨站请求伪造代码演示 一.昨日回顾 1 djangocookie的使用 -增 obj.set_cookie(key,value,max_age) -删 obj.delete_cookie(key) -查 request.COOKIE.get(key
Python-使用Django来介绍CSRFandCookiesSession
08-10
在这个教程,我们将深入探讨Django的两个关键概念:CSRF跨站请求伪造)和Cookie及Session。这些是Web应用程序安全性的重要组成部分,对于防止恶意攻击至关重要。 **CSRF跨站请求伪造)** CSRF是一种网络...
django 的用户身份验证和 session 的关系
木野狐@CSDN Blog
07-12 4134
Sessionsession 的数据存在数据库,它在客户端是用 cookie 来识别的,作为一个票据。这个 cookie 的名称,默认就叫 "sessionid",但是可以通过 settings.SESSION_COOKIE_NAME 来修改。sessionid 这个 cookie 的值,在服务器端就是 sessionsession_key 属性,同时数据库的 django_ses
Django Session使用原理基础概念 及 案例
Zok的博客
08-21 1051
基础概念 !!!session针对浏览器,一浏览器对应一session,切换账户也是一个session Session是保存在服务器的键值对 必须依赖于Cookie 存Session: 1. 在服务器生成随机字符串; 2. 生成一个和字符串对应的字典,用来储存用户数据 3. 随机字符串当作cookie 返回给浏览器 取Session: 1.从Cookie里找随机字符串...
[django]session设置与获取原理
weixin_30617695的博客
08-23 367
admin登录 情况1: 登录后会产生一个sessionid 情况2: 自定义设置了key后,会多一个sessionid, 登录后会替换为登录后的sessionid的key值 if username == "maotai" and password == "123456": request.session['name'] = "maotai-sessio...
Djangocookies 和 session,以及网站登录操作流程
梁甜田的博客
10-23 242
Http协议 1、每个请求一定都会有请求方方式,最常见的为get和post,不常见的有put,delete等 ①get:向服务器索取数据时使用 传递数据到服务器时,会直接请求数据封装到地址的后面,在url会显示get的数据 ex :”http://www.baidu.com/s?wd=北京&d=海淀”,请求地址为“ http://www.baidu.com/s ”,get参数为“...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者诱使用户在当前已登录的Web应用程序上执行非本意的操作。这种攻击通常通过伪装成用户的合法请求来实现,比如通过恶意链接、电子邮件或...
django_user_api
03-17
DjangoCSRF跨站请求伪造)保护和XFrameOptionsMiddleware可以防止这些攻击。 12. **部署**:最后,Django项目通常部署在WSGI服务器上,如Gunicorn或uWSGI,再通过Nginx等反向代理服务器进行负载均衡和静态文件...
Python Django框架防御CSRF攻击的方法分析
09-18
Python的Web开发框架DjangoCSRF(Cross-site request forgery,跨站请求伪造)是一种常见的安全威胁,它允许攻击者通过受害者在已登录的网站上的合法身份执行恶意操作。为了保护用户免受此类攻击,Django提供...
sample_django_login:示例 django 登录应用程序
06-12
10. **安全与最佳实践:** 示例应用应遵循安全最佳实践,比如使用 HTTPS,密码哈希存储,防止跨站请求伪造CSRF)攻击,以及对敏感数据的适当处理。 在深入学习 sample_django_login 项目时,开发者可以了解以上...
django session 会话
Xuanjinfei的博客
03-01 417
session:   1:INSTALLED_APPS 有'django.contrib.sessions' 2: MIDDLEWARE 要有间键 'django.contrib.sessions.middleware.SessionMiddleware' 3: 设置存储形式 按 ctrl + alt + r 输入migrate session 创建django_session数据库 4: 引...
Django之Auth模块 实现登录,退出,自带session 与认证功能的一个重要的模块
weixin_30797199的博客
04-26 344
Auth模板 1. 什么是Auth模块,有什么用? django的auth的模块的使用: auth 是集合注册,登录,注销,session 多个功能集合在一起的模块 2. 使用Auth组件的默认auth_user表常用操作 from django.contrib.auth.models import User # 1、创建普通用户 User.objects.create...
djangosession认证原理
veujs的博客
11-30 229
djangosession认证原理逻辑梳理
Django】用户认证 Auth cookie session
Marianas Trench
12-10 496
Auth模块 Cookies Cookie 是存储在客户端计算机上的文本文件,并保留了各种跟踪信息。 一个 Web 服务器可以分配一个唯一的 session 会话 ID 作为每个 Web 客户端的 cookie,对于客户端的后续请求可以使用接收到的 cookie 来识别。 设置 cookie: rep.set_cookie(key,value,...) rep.set_signed_cookie(key,value,salt='加密盐',...) #例子:用户登录验证完后,返回response rep
Django框架学习15--auth模块--session和cookie
铁马冰河入梦来
12-13 1124
Django通过命令python3 manage.py createsuperuser可以创建一个管理员账户 管理员账户的信息存放在auth_user表 从上表可以看到password是经过加密的 写一个登陆界面和登陆成功后界面 login.html <!DOCTYPE html> <html lang="en"> <head> &l...
flask利用session身份伪造
weixin_30872867的博客
01-09 820
想研究很久了,这次终于初步了解了flask session伪造(得知道密钥)。 python2和python3 session解密不一样,而且不都是base64,脚本https://github.com/ZhangAiQiang/Flask/tree/master/%E8%A7%A3%E5%AF%86session%E8%84%9A%E6%9C%AC 参考文章:https://www.cnblog...
flasksession伪造问题
m0_62422842的博客
09-05 2585
flasksession伪造问题,涉及两道ctf题目,一道主要考察session伪造,另一道session伪造与py反序列化结合考察。
session,PIN码伪造学习(py flask)
最新发布
oyf3085227433的博客
03-12 2185
学习一下伪造session,PIN码的知识
如何用 Python 爬取需要登录的网站?
热门推荐
Python开发者
12-30 3万+
(点击上方蓝字,快速关注我们)英文:Tzahi Vidas   编译: 伯乐在线 -   ebigear  http://python.jobbole.com/83588/最近我必须执行一项从一个需要登录的网站上爬取一些网页的操作。它没有我想象那么简单,因此我决定为它写一个辅助教程。在本教程,我们将从我们的bitbucket账户爬取一个项目列表。教程的代码可以从我的 Github 找到。
Python_django_web学生管理系统
05-18
你可以运行以下命令来创建一个名为 myproject 的新项目:`django-admin startproject myproject` 3. 创建一个 Django 应用程序: 接下来,你需要创建一个名为 students 的新应用程序。你可以运行以下命令:`python ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

I believe I can fly~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值