在网站开发的时候,有些页面是用户登录之后才能访问(比如修改密码页面),加入用户访问了这个地址,需要进行登录判断。如果用户已经登录可以进行后续操作,如果没有登录,跳转到登录页。
再次理解装饰器,登录装饰器
def login_required(view_func):#装饰器其实就是函数的引用,这个view_func就是函数名
'''登录判断装饰器'''
def wrapper(request,*view_args,**view_kwargs):
#判断用户是否登录
if request.session.has_key('islogin'):
#用户已经登录,调用对应的视图
view_func(request,*view_args,**view_kwargs)
else:
return redirect('/login')
return wrapper
装饰器其实就是函数的引用,想下面:
login_request(view_func)
其实等价与
@login_request
view_func(){
.......
}
最上面那个例子,就是登录装饰器,这样的话,登录判断就不用写在视图里面了,简化了视图函数.哪个函数需要判断是否登录,直接用这个装饰器装饰就可以了.
csrf跨站请求伪造
伪造成功关键点:
1.登录正常网站之后,你的浏览器保存了sessionid,并且你没有退出
2.当你不小心访问了另外一个网站,并且你还点击的页面上的东西
Django默认启动了csrf防护,在setting.py里
MIDDLEWARE_CLASSES = (
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware', #csrf防护
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
'django.middleware.security.SecurityMiddleware',
)
这个防护只针对post提交.如果post提交不做任何处理,就会出现Forbidden(403)错误.
这个时候,所有的post提交都要加上{% csrf_token %}
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>修改密码页面</title>
</head>
<body>
<form action="change_pwd_action" method="post">
{% csrf_token %}
新密码:<input type="password" name="pwd">
<input type="submit" value="确认修改">
</form>
</body>
</html>
csrf防护原理
1.渲染模板文件的时候在页面生成一个名字叫做csrfmiddlewaretoken的隐藏域
2.服务器交给浏览器保存一个名字为csrftoken的cookie信息
3.提交表单的时候,两个值都会发送给服务器,服务器进行比较时,如果一样,则csrf验证通过,否则失败.