Django admin自定义动作之你的不规范可能让你的站点不安全了

于 2021-07-19 19:08:20 发布
阅读量387 收藏 1
点赞数 1
分类专栏: Django 文章标签: django restful python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41954715/article/details/118910721
版权

Django admin自定义动作之你的不规范可能让你的站点不安全了

前言

想起前段时间,我是非常抵触看官方文档的。官方文档是什么东西,我就算自己看源码学,我也不会看你文档一点!现在发现文档是真的香啊。
那之前我想自定动作的时候, 我头是真的铁. 我居然自己看: https://b23.tv/NQuKiI, 实际上人家官方就有详细的文档

新版写的写法

我大致翻了一下文档, 权限认证呢?我记得阅读 delete_selected() 源码的时候。是有权限认证的呀. 难道新版不需要了?仔细翻了一下,原来注解可以限制权限了。
在这里插入图片描述

我去翻了一下源码,新版本(3.2.3)的默认动作加上了注解。设置了所需权限和描述.
在这里插入图片描述

权限认证漏洞

我开始担心起来. 是否有人没有注意到需要设置权限或进行权限认证呢 ?更坏的情况是他写了文章,而且已经有人参考并跑在线上了。
我百度随便翻了几篇, 都没有写权限验证的内容。其中一篇文章有18万的阅读量, 还包括某乎的文章.
在这里插入图片描述

漏洞验证

运气好的是,Django 的设计是以 POST 的方式请求当前页面,进行处理。 参考: https://b23.tv/6ZRcEb, 也可以自己去翻源码: \site-packages\django\contrib\admin\options.py: def response_action()
在这里插入图片描述
这样的设计设下了一次验证,我们需要是 职员/管理员 身份才能进入后台。所以我新建了一个用户并给了职员的身份,是用户是否可以登录到此管理站点。
在这里插入图片描述
但是没有任何的权限,所以登录后台也看不到任何东西。不得不感叹一句 Django 验证真好
在这里插入图片描述
现在加上最基本的 view 权限,让他可以查看内容,仅仅只是查看。
在这里插入图片描述
action 暴露出来了,且能用
在这里插入图片描述

危害

原本的设计是我只有查看的权限,但因为 action 的开发不规范,用户可以做到了本做不到的,越权产生了, 但条件苛刻, 那如果职员账号是弱密码呢? 如果你的站点也有这样的职员账号,请检查 action 是否规范开发。

抓什
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
自定义djangoadmin后台action
夜惊心的博客
03-29 1万+
djangoadmin后台管理系统中自带了一个批量删除所选对象的action。 我们还可以添加自定义的action来实现其它类似的功能,如批量修改某个字段的功能。 简单的,例如将文章批量标记为已发布的action,如下, from django.contrib import admin from myapp
django admin操作
Draught_Bear的博客
11-24 267
(venv) C:\Users\10244\Documents\python_workspace\django_project>python manage.py createsuperuser 用户名 (leave blank to use 'kelvin.xiong'): kelivn 电子邮件地址: 1024469625@qq.com Password: Password (again...
Linux五种IO模型
summer_fish的专栏
11-22 235
Linux五种IO模型阻塞I/O模型非阻塞IO模型 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20201122152830444.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3N1bW1lcl9maXNo,size_16,color_FFFFFF,t_70#pic_center)IO复用模型信号驱动IO异步I
Django xadmin 后台自定义action 动作
长门有希的博客
08-23 5125
adminx.py from xadmin import views from .models import * # 自定义动作所需 from django import forms, VERSION as django_version from django.core.exceptions import PermissionDenied from django.db import route...
django admin中添加自定义视图的例子
09-18
但是,你可能会注意到,由于我们没有直接继承`django.contrib.admin.AdminSite`,一些默认的Django Admin头部信息(如欢迎信息、站点视图链接等)可能缺失。这是因为这些信息依赖于`has_permission`属性,该属性在`...
Django Admin后台模型列表页面如何添加自定义操作按钮
12-16
你需要添加两个按钮:一个按钮使所有英雄都可以死亡,而另一个按钮使所有英雄永生。由于它会影响所有英雄,而与选择无关,因此这需要一个单独的按钮,而不是操作下拉菜单。 首先,我们要更改HeroAdmin管理模型使用的...
django-mptt-adminDjango-mptt-admin为Mptt模型提供了一个不错的Django Admin界面
02-04
5. **前端依赖**:Django-mptt-admin可能依赖于特定的JavaScript库(例如jQuery),确保这些库在你的项目中可用。 文件名`django-mptt-admin-master`看起来像是源代码的克隆或下载,通常包含项目的源代码、示例、...
Django admin禁用编辑链接和添加删除操作详解
09-18
Django框架中,admin站点是一个强大的管理后台,它允许开发者快速创建用于数据管理的界面。然而,在某些情况下,我们可能需要对这个界面进行自定义,例如禁用模型的编辑链接、添加按钮以及删除操作。这通常是出于...
屏蔽Django admin界面添加按钮的操作
09-17
如果你不希望显示这个按钮,可以通过自定义`ModelAdmin`类来实现。在`admin.py`文件中,找到对应Model的注册部分,然后修改`ModelAdmin`的配置。 以下是一个简单的例子,展示如何禁用某Model的添加按钮: ```...
django-admin-interface:django的默认管理界面可自定义。 弹出窗口被模态代替
02-05
django-admin-interface django-admin-interface是一个现代的响应式平面管理界面,可以由admin本身进行自定义。 产品特点 美丽的默认Django主题 主题管理和自定义(您可以自定义管理员标题,徽标和颜色) React灵敏 列表过滤器下拉列表(可选) NEW相关模式(代替旧的弹出窗口,可选) NEW环境名称/标记 NEW语言选择器 兼容性/样式优化: django-ckeditor django-dynamic-raw-id django-json-widget django-modeltranslation django-tabbe
django admin_使Django Admin安全的10个技巧
cumo3681的博客
06-30 605
django admin 将确保应用程序安全的责任转移到QA测试人员或信息安全办公室,这很诱人,但是安全是每个人的责任。 Django Admin是我们最喜欢的Django功能之一,但是除非正确锁定,否则它会提供被利用的机会。 为了保护用户免遭泄露数据的侵害,这里有10条技巧,可以使Django Admin安全。 1.使用SSL 在HTTPS之后部署您的站点。 如果您不使用HTTPS,...
python测试开发django-46.xadmin添加action动作
weixin_30872157的博客
04-03 408
前言 Action插件在数据列表页面上提供数据选择功能。可以在Action之后专门处理所选数据。批量删除功能作为默认操作提供。 action文档 要启用Action,开发人员可以设置Model OptionClass的属性“actions”,这是一种列表类型。xadmin官方文档地址https://xadmin.readthedocs.io/en/latest/plugins.html 默认情况下...
去掉djangoadmin页面的最近动作
Alan的博客
07-14 779
去掉djangoadmin页面的最近动作 在外部库/site-packages/django/contrib/admin/templates/admin/index.html中 {% block sidebar %} …把这中间的东西都删除 {% endblock %}
Django admin学习(一)
mullerwch的专栏
07-18 542
Django搭建web,我们可以发现它已经提供了一个admin的管理系统。 但是在分配权限的时候,只有change、add、delete三种权限,也就是说任一登录管理界面的用户,都有修改数据的风险,所以我们需要添加一种只读用户,他可以登录后台页面进行数据的查看,但是不会对数据进行修改。class CustomModelAdmin(admin.ModelAdmin): # 对于
自定义条件查询_第36章 Django后台中的自定义操作
weixin_32821257的博客
12-20 160
在信息列表窗口,如果数据筛选条件不够的话,可以添加,有日期、过滤器、搜索可以选择;如果功能不够的话,可以进行自定义;如果想改变数据查询内容的话,可以继承父类的查询方法;还有模板也是可以更换的,好像只有想不到没有做不到似的。当然,添加、修改、删除的方法也是可以通过继承父类进行相应的调整的。from django.contrib import adminfrom .models import Post...
django项目创建的标准动作
gaosong0623的博客
03-13 156
11111
djangoadmin管理后台到底是否靠谱呢
微电子学与固体电子学-俞驰
03-01 267
根据<Python新手使用Django架站的16堂课> 第13章的13-06页,如下: 所以这个东西其实不是太靠谱.
Django admin自定义界面
最新发布
09-22
Djangoadmin 界面是一个方便管理数据库的工具,你可以通过自定义模型管理类来定制它的外观和功能。 要自定义 Django admin 界面,你需要定义一个模型管理类,并在你的模型中指定使用该类。模型管理类继承自 `django.contrib.admin.ModelAdmin`,并且可以重写它的一些属性来控制 admin 界面的外观和功能。 例如,你可以使用 `list_display` 属性来控制在列表页中显示的字段,使用 `search_fields` 属性来控制可以搜索的字段,使用 `ordering` 属性来控制列表的默认排序方式,等等。 这里是一个示例: ``` from django.contrib import admin class BookAdmin(admin.ModelAdmin): list_display = ('title', 'author', 'publisher', 'publication_date') search_fields = ('title', 'author__name') ordering = ('-publication_date',) admin.site.register(Book, BookAdmin) ``` 在这个例子中,我们定义了一个名为 `BookAdmin` 的模型管理类,并将其注册到了 `admin.site` 中,以便在 admin 界面中使用它。在该类中,我们使用了 `list_display`、`search_fields` 和 `ordering` 属性,以控制 admin 界面的外观和功能。 希望这能帮助你!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值