12 Django 中间件 跨站请求伪造csrf importlib模块 基于中间件的编程思想

最新推荐文章于 2024-06-13 16:09:33 发布
最新推荐文章于 2024-06-13 16:09:33 发布
阅读量197 收藏
点赞数
分类专栏: Django学习 文章标签: 中间件 python django ajax
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36565509/article/details/106624639
版权

Django

1 中间件介绍

1.1 中间件作用

每个中间件可以理解为项目中的一个独立的功能。

中间件作为Django项目的门户。

  1. 请求来的时候,需要先经过中间件处理才能到达后端。
  2. 相应走的时候,需要先经过中间件处理才能发送出去。

只要是涉及到项目全局的功能,首先应该考虑使用中间件。

  1. 全局用户身份校验;
  2. 全局用户权限校验;
  3. 全局访问频率校验。

Django内部有7个内置的中间件。
Django支持自定义中间件,提供了5个可以自定义的方法。

settings.py

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

上面相当于从模块中导入类

from django.middleware.security import SecurityMiddleware
from django.contrib.sessions.middleware import SessionMiddleware
from django.middleware.common import CommonMiddleware
from django.middleware.csrf import CsrfViewMiddleware
from django.contrib.auth.middleware import AuthenticationMiddleware
from django.contrib.messages.middleware import MessageMiddleware
from django.middleware.clickjacking import XFrameOptionsMiddleware

7个内置的中间件类的特点

  1. 类内部定义了方法process_xxx;
  2. 都继承自父类MiddlewareMixin。
1.2 Django请求生命周期流程图

在这里插入图片描述

2 中间件方法

2.1 介绍

Django支持自定义中间件,提供了暴露给程序员5个可以自定义的方法。

重要的方法

process_request

process_response

了解的方法

process_view

process_template_response

process_exception
2.2 自定义中间件

创建自定义中间件步骤:

  1. 在项目根目录或者app目录下创建一个任意名称的文件夹;
  2. 在该文件夹内创建一个任意名称的py文件;
  3. 在该py文件内创建一个任意名称的自定义类,该类需要继承MiddlewareMixin;
  4. 可以在该类内自定义5个方法;
  5. 在配置文件中注册自定义中间件,将类的路径+类名以字符串的形式(‘路径.类名’)添加到配置文件settings.py中的列表MIDDLEWARE中。
MIDDLEWARE = [
    ...
    'app01.mymiddleware.mymiddleware.MyMiddleware',
]

mymiddleware.py

from django.utils.deprecation import MiddlewareMixin

class MyMiddleware(MiddlewareMixin):
    def process_request(self, request):
        print('执行自定义中间件的process_request')
2.3 重要的方法(2个)
2.3.1 process_request

process_request

  1. 请求来的时候需要经过每一个中间件的process_request方法,
    顺序是按照配置文件中注册的中间件从上向下依次执行。
  2. 如果中间件中没有定义方法process_request,直接跳过。
  3. 如果中间件的方法process_request的返回值是HttpResponse对象,请求将不会继续向后传递,直接原路返回。
    因此process_request可用于做全局相关的校验功能,如果校验失败,直接不允许访问。
from django.utils.deprecation import MiddlewareMixin

class MyMiddleware(MiddlewareMixin):
    def process_request(self, request):
        pass
2.3.2 process_response

process_response

  1. 响应走的时候需要经过每一个中间件的process_response方法,
    顺序是按照配置文件中注册的中间件从下向上依次执行。
  2. 如果中间件中没有定义方法process_response,直接跳过。
  3. process_response方法的参数response是后端返回给浏览器的HttpResponse对象,该方法的返回值必须是HttpResponse对象,可以是其参数response。
    特点:如果形参中含有response,则返回值必须是一个HttpResponse对象。
  4. 如果响应来的时候,process_request方法返回了HttpResponse对象,请求将原路返回,就是从同级别的process_response方法开始向外返回。
    与django不同,flask中只要返回数据,就必须经过所有的类似于process_response的用于处理返回响应的方法。
from django.utils.deprecation import MiddlewareMixin

class MyMiddleware(MiddlewareMixin):
    def process_response(self, request, response):
        ...
        return response
2.4 了解的方法(3个)

process_view
触发时机:路由匹配成功之后,执行视图函数之前。
顺序是按照配置文件中注册的中间件从上向下依次执行。

from django.utils.deprecation import MiddlewareMixin

class MyMiddleware(MiddlewareMixin):
    def process_view(self, request, view_name, *args, **kwargs):
        pass

process_template_response
触发条件:视图函数返回的HttpResponse对象中有一个render()方法。
顺序是按照配置文件中注册的中间件从下向上依次执行。

from django.utils.deprecation import MiddlewareMixin

class MyMiddleware(MiddlewareMixin):
    def process_template_response(self, request, response):
    	...
        return response

views.py

def index(request):
	obj = HttpResponse('test1')
	def render():
		...
		return HttpResponse('test2')
	obj.render = render
	return obj

process_exception
触发条件:视图函数中出现错误抛出异常时。
顺序是按照配置文件中注册的中间件从上向下依次执行。
参数exception是报错提示信息。

from django.utils.deprecation import MiddlewareMixin

class MyMiddleware(MiddlewareMixin):
    def process_exception(self, request, exception):
		pass

3 csrf跨站请求伪造

跨站请求伪造(csrf,Cross-site Request Forgery)
与钓鱼网站有关。

3.1 介绍钓鱼网站

钓鱼网站本质
用假网站冒充正规网站。

钓鱼网站现象
首先搭建一个与正规网站一模一样的网站,即钓鱼网站,这里以银行网站为例。
用户不小心进入了这个假的银行网站,进行转账操作。
转账操作提交到了真正的银行系统,用户的存款也减少了。
但是转账的目标账户不是用户的目标账户,而是另一个账户。

钓鱼网站核心流程
在钓鱼网站的转账页面中,针对目标账户的输入框,只给用户提供了一个没有name属性的input标签。
在内部使用hidden属性隐藏一个已填好name和value的input标签,name是目标用户字段,value是设定好的账户。
这样用户转账的目标账户实际是内部设定好的账户。
钓鱼网站提交的目标是实际的银行系统,银行系统后端接收到的参数表明用户向钓鱼网站设定的账户进行转账操作。

3.2 跨站请求伪造校验

防止钓鱼网站的思路:后端系统需要判断识别出请求是否来自本后端提供的网页。

跨站请求伪造校验思路
后端系统向用户返回一个具有提交表单功能的页面时,会在页面上添加一个隐藏的唯一标识。
这个唯一标识每次请求都不相同。
页面向后端系统提交表单时会发送这个唯一标识,这样后端系统能够通过唯一标识判断出请求是否合法。
如果请求的唯一标识不存在,后端系统会拒绝此次请求,返回403 Forbidden错误。

Django后端通过内置中间件CsrfViewMiddleware进行csrf校验。
前端提交post请求方式包括:

  1. form表单
  2. ajax
3.3 form表单实现csrf校验
<form action="" method="post">
	{% csrf_token %}
	...
</form>

在form表单中添加{% csrf_token %},它会渲染成隐藏的input标签。

<form action="" method="post">
	<input type="hidden" name="csrfmiddlewaretoken" value="token唯一标识">
	...
</form>
3.4 ajax实现csrf校验

方式1,通过查找标签获取页面上的唯一标识。

<script>
	$('#btn1').click(function () {
		$.ajax({
			url: '',
			method: 'post',
			data: {
				..., 
				'csrfmiddlewaretoken': $('[name=csrfmiddlewaretoken]'.val())
			},
			success: function(args) {
				
			}
		})
	})
</script>

方式2,使用模版语法。

<script>
	$('#btn1').click(function () {
		$.ajax({
			url: '',
			method: 'post',
			data: {
				..., 
				'csrfmiddlewaretoken': '{{ csrf_token }}'
			},
			success: function(args) {
				
			}
		})
	})
</script>

方式3,引入js文件
方式3不依赖于模版语法,推荐。

static文件夹/js文件夹/mysetup.js

function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');

function csrfSafeMethod(method) {
  // these HTTP methods do not require CSRF protection
  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

$.ajaxSetup({
  beforeSend: function (xhr, settings) {
    if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
      xhr.setRequestHeader("X-CSRFToken", csrftoken);
    }
  }
});

代码详见:Djagno官方文档中关于CSRF的内容

settings.py

STATICFILES_DIRS = [
	os.path.join(BASE_DIR, 'static')
]

{% load static %}
<script src="{% static 'js/mysetup.js' %}"></script>
<script>
	$('#btn1').click(function () {
		$.ajax({
			url: '',
			method: 'post',
			data: {
				...
			},
			success: function(args) {
				
			}
		})
	})
</script>
3.5 csrf相关装饰器
3.5.1 介绍

需求:

  1. 网站整体都不校验csrf(配置文件注释掉csrf校验),只有几个指定的视图函数需要校验;
  2. 网站整体都校验csrf,只有几个指定的视图函数不进行校验。

csrf相关装饰器
csrf_protect 需要校验
csrf_exempt 忽视校验

3.5.2 FBV

csrf_protect与csrf_exempt使用方式相同。

from django.views.decorators.csrf import csrf_protect, csrf_exempt

@csrf_protect 
def test_csrf_protect(request):
	pass

@csrf_exempt
def test_csrf_exempt(request):
	pass
3.5.3 CBV

对于csrf_protect,有三种方式添加装饰器。

方式1

from django.views.decorators.csrf import csrf_protect
from django.utils.decorators import method_decorator
from django.views import View

class MyCsrfTest(View):
	def get(self, request):
		pass
		
	@method_decorator(csrf_protect)
	def post(self, request):
		pass

方式2

from django.views.decorators.csrf import csrf_protect
from django.utils.decorators import method_decorator
from django.views import View

@method_decorator(csrf_protect, name='post')
class MyCsrfTest(View):
	def get(self, request):
		pass
		
	def post(self, request):
		pass

方式3

from django.views.decorators.csrf import csrf_protect
from django.utils.decorators import method_decorator
from django.views import View

class MyCsrfTest(View):
	@method_decorator(csrf_protect)
	def dispatch(self, request, *args, **kwargs):
		return super(MyCsrfTest, self).dispatch(request, *args, **kwargs)

	def get(self, request):
		pass
		
	def post(self, request):
		pass

对于csrf_exempt,只能作用于dispatch方法才能生效。

from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator
from django.views import View

class MyCsrfTest(View):
	@method_decorator(csrf_exempt)
	def dispatch(self, request, *args, **kwargs):
		return super(MyCsrfTest, self).dispatch(request, *args, **kwargs)

	def get(self, request):
		pass
		
	def post(self, request):
		pass

另一种为dispatch方法添加csrf_exempt装饰器的方式

from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator
from django.views import View

@method_decorator(csrf_exempt, name='dispatch')
class MyCsrfTest(View):
	def dispatch(self, request, *args, **kwargs):
		return super(MyCsrfTest, self).dispatch(request, *args, **kwargs)

	def get(self, request):
		pass
		
	def post(self, request):
		pass

5 importlib模块

from target_folder import target_file

print(target_file.value)

另一种导入模块的方式,使用importlib模块以字符串的形式导入指定模块。
使用importlib模块导入的最小单位为文件,不能导入文件内的名字。

import importlib

TARGET_FILE_STR = 'target_folder.target_file'
target_module = importlib.import_module(TARGET_FILE_STR)
print(target_module.value)

from target_folder import target_file
等价于
importlib.import_module('target_folder.target_file')

4 基于中间件的编程思想-功能的插拔式设计

settings.py

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

需求:发送消息,发送方式包括邮件、QQ、微信。

方式1

notify.py

def send_email(content):
	print(content)
	print('发送邮件。')

def send_wechat(content):
	print(content)
	print('发送微信。')

def send_qq(content):
	print(content)
	print('发送qq。')

start.py

from notify import *

def send_all(content):
	send_email(content)
	send_wechat(content)
	send_qq(content)

if __name__ == '__main__':
	send_all('Test')

此时,如果需要取消qq发送,需要在函数send_all中将函数send_qq注释掉。
但是需要修改源代码,不便于管理人员操作。

方式2,基于中间件的编程思想

创建notify文件夹,内部创建3个功能py文件和1个__init__.py。

byemail.py

class ByEmail():
	def __init__(self):
		# 发送邮件的准备工作
		pass

	def send(self, content):
		print(content)
		print('发送邮件。')

bywechat.py

class ByWechat():
	def __init__(self):
		# 发送微信的准备工作
		pass

	def send(self, content):
		print(content)
		print('发送微信。')

byqq.py

class ByQQ():
	def __init__(self):
		# 发送QQ的准备工作
		pass

	def send(self, content):
		print(content)
		print('发送QQ。')

定义包需要__init__.py,中间件的编程思想的核心

import settings
import importlib

def send_all(content):
	for each_path_str in settings.NOTIFY_LIST:
		# 1. 获取每一个模块路径以及对于的类名。
		module_path, class_name = each_path_str.rsplit('.', maxsplit=1)
		# 2. 利用importlib模块以字符串的形式导入模块。
		each_module = importlib.import_module(module_path)
		# 3. 利用反射获取类
		each_class = getattr(each_module, class_name)
		# 4. 通过类实例化对象
		each_obj = each_class()
		# 5. 利用鸭子类型调用对象的send方法。
		each_obj.send(content)

在项目根目录下创建start.py和settings.py。

settings.py

NOTIFY_LIST = [
	'notify.byemail.ByEmail',
	'notify.bywechat.ByWechat',
	'notify.byqq.ByQQ',
]

start.py

import notify

notify.send_all('Test')

此时,如果需要取消qq发送,管理员可以去配置文件中将对应的配置注释掉。

如果需要添加skype发送功能,首先需要先创建新的py文件。

byskype.py

class BySkype():
	def __init__(self):
		# 发送skype的准备工作
		pass

	def send(self, content):
		print(content)
		print('发送skype。')

然后去配置文件settings.py中对skype发送功能进行注册。

settings.py

NOTIFY_LIST = [
	'notify.byemail.ByEmail',
	'notify.bywechat.ByWechat',
	'notify.byqq.ByQQ',
	'notify.byskype.BySkype',  # 注册skype发送功能。
]

这样做,当添加新功能时,不需要修改项目主要的逻辑代码。

思想总结

  1. 配置文件注册功能;
  2. 使用importlib模块以字符串的形式动态地导入模块;
  3. 使用rsplit方法切割模块路径以及对应的类;
  4. 使用反射、面向对象思想和鸭子类型。
Jianhao92
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python importlib
01-27
有时候,我们很需要在程序运行的过程中,根据变量或者配置动态的决定导入哪个模块。 在python中实现动态导入模块importlib.import_module 使用importlib模块的import_module方法就可以实现动态的导入。 import importlib mo =importlib.import_module('subPack1.module_12') mo.funcA12()
Django-importlib模块使用
lmw的博客
01-12 761
in stark.py class DownFile(object): def __init__(self,name) self.name = name def getName(self): return self.name in views.py import importlib def func(): ''' importlib模块 以字符串的形
Django的cookie、session和中间件的自定义使用和importlib模块的使用
我可是小老虎的博客
10-25 181
一、cookie session token简单介绍 1 https://www.cnblogs.com/liuqingzheng/articles/8990027.htmlp 2 cookie:客户端浏览器上的键值对 3 session:存在服务端的键值对 4 token:加密的键值对,如果放在客户端浏览器上,它就叫cookie, 服务端签发的加密字符串 head.{name:wuxi,age:18}.eseetsweasdca base64加码: asdfasfd.asdfasdf.a
Python importlib.import_module方法以及在Django中的使用
JosephThatwho的博客
10-13 727
importlib模块为用户提供了动态导入自定义对象的途径。比如自定义三个权限验证模块 " Press ? for help | 1 class Authentication: | 2 def __init__(self): .. (up a dir) | 3 ...
浅析Django中import_string的实现
hKY0fB8kZ6xY
11-27 2515
importlib.import_module 函数的功能 import_string 函数的实现
Django CSRF请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网A,浏览器就会保存网A...
Django中如何防范CSRF请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
主要介绍了详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
django17:importlib应用中间件代码思想
winterye12的博客
04-23 99
转载:https://www.cnblogs.com/alice-bj/articles/9276880.html 背景 仿django中间件编程思想 用户可通过配置,选择是否启用某个组件/某个功能,只需要配置 eg:报警系统,发邮件,发微信 。。。 ( 根据字符串导入模块, 利用反射找到模块下的类,实例化。执行 ) code # settings.py NOTIFY_LIST = [ 'notify.email.Email', 'notify.msg...
Python2与Python3的区别(四):imp与importlib
foryouslgme的博客
06-22 1万+
Deprecated since version 3.4: The imp package is pending deprecation in favor of importlib. 与之相关的: 1、系统函数_import() 2、exec引用其它人博客#Python的import不能接受变量,所以应该用 __import__函数来动态导入。 #如下的代码无法正常导入模块modules =
再次进阶django(回顾多对多表的创建方式,contentType参数,ajax,批量插入,利用importlib实现包的导入)
如果我是DJ你会爱我吗
06-17 177
0.回顾django一些内容 1.MTV和MVC MTV:模型层,模板层,视图层 MVC:模型层,视图层,控制层 2.多对多关系的三种创建方式 第一种(全自动):author = models.ManyToManyField(to='Author') 第二种(纯手动): class Book(models.Model): name = models.CharField(ma...
介绍importlib
weixin_30390075的博客
09-11 600
Python将importlib作为标准库提供。它旨在提供Pythonimport语法和(__import__()函数)的实现。另外,importlib提供了开发者可以创建自己的对象(即importer)来处理导入过程。 那么imp呢?还有一个imp模块提供了import语句接口,不过这个模块在Python3.4已经deprecated了。建议使用importlib来处理。 这个模块比较复杂,...
python中django使用组件式开发思想
qq_42735170的博客
08-17 975
组件式开发(Component-Based Development,简称CBD)是一种软件开发范型。它是现今软件复用理论实用化的研究热点,在组件对象模型的支持下,通过复用已有的构件,软件开发者可以“即插即用”地快速构造应用软件。   优点:灵活性高:各个功能模块之间的耦合很低,每一个组件都是独立的,它附着在整个插件框架上执行,真正的实现有则加载,无则忽略。复用性强:由于组件之间的通信或者交互都...
Python django报错ImportError: cannot import name find_spec
菜鸟大侠的专栏
05-17 7960
运行 django-admin startproject mysite报错如下: [root@host django]# django-admin startproject mysite Traceback (most recent call last): File "/usr/local/bin/django-admin", line 9, in load_entry_poi
[Scrapy使用技巧] 如何在scrapy中捕获并处理各种异常
热门推荐
Rei的博客
06-15 3万+
前言 使用scrapy进行大型爬取任务的时候(爬取耗时以天为单位),无论主机网速多好,爬完之后总会发现scrapy日志中“item_scraped_count”不等于预先的种子数量,总有一部分种子爬取失败,失败的类型可能有如下图两种(下图为scrapy爬取结束完成时的日志): scrapy中常见的异常包括但不限于:download error(蓝色区域), http code 40...
中间件复习之-分布式存储系统
shanshe7934的博客
06-11 709
存储引擎:存储系统的发动机,提供数据的增、删、改、查能力,直接决定存储系统的功能(支持怎么样的查询,锁能锁到什么程度)和性能(增删改查速度)。
node 中间件使用例子
最新发布
weixin_38233449的博客
06-13 457
nodejs作为中间件的应用
Django中的CSRF(请求伪造)
05-21
Django中的CSRF是一种安全机制,可以防止请求伪造攻击。在Django中,默认情况下,所有的POST、PUT、DELETE请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。 具体来说,Django在生成表单时会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值