Django中间件,CSRF(跨站请求伪造),缓存,信号,BootStrap(模板)-响应式(栅格)+模板

最新推荐文章于 2022-04-26 01:34:57 发布
最新推荐文章于 2022-04-26 01:34:57 发布
阅读量127 收藏
点赞数
分类专栏: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_41672927/article/details/104030582
版权

Django中间件,CSRF(跨站请求伪造),缓存,信号,BootStrap(模板)-响应式(栅格)+模板

1.中间件(重要):

在Django的setting中有个MIDDLEWARE列表,里面的东西可以理解为过滤管道,里面有个安全过滤管道: from django.middleware.csrf import CsrfViewMiddleware里面有四个常用的方法:

  • process_request:客户端请求的通道,但当此方法里面有return时就不会再执行后面的方法,直接走process_response方法(表示请求数据被拦截)。注:其中使用return 会拦截掉客户端的所有请求。
  • process_views:经过process_request之后再从新从每个管道的此方法执行后面的方法(后面的方法指的是主体URL请求时所走的views方法)。
  • process_exception:抛出异常,在process_response方法执行之前,且只抛出URL链接请求的views方法中的异常,不会抛出process_request,process_views中的异常,而且所有的异常抛出后才会从第一个process_response方法返回给客户端请求的内容。
  • process_response:请求获取到数据返回的路径。注:必有返回值 且 return 要返回固定参数。

在这里插入图片描述

2.CSRF(跨站请求伪造):

默认情况下不使用任何方法或装饰器,在Django项目配置文件setting.py文件的MIDDLEWARE的csrf管道会拦截post请求。

  • 在使用form表单发送post请求时要在表单的里面加入{% csrf_token %}

  • 在使用Ajax发送post请求时要在Ajax里面的请求投headers加入{‘X-CSRFToken’😒.cookie(‘csrftoken’)} —(要导入Jquery文件和Jq的cookies文件)如果想全局设置headers就可以使用:

    //使用此方法就不用再ajax中再设置headers请求头
<script>
    $(function(){
    	$.ajaxSetup({
            beforeSend:function(xhr){
                xhr.setRequestHeader("X-CSRFToken",$.cookie('csrftoken'));
            }
        });
    });
</script>

  • $.cookie(‘csrftoken’)是cookies的csrftoken随机字符串,csrf原理和cookie相似,他会给经过的信息做标记,携带此标记才不会被拦截,$.cookie(‘csrftoken’)的作用就是获取cookie的那个标记(csrf随机生成的字符串)

  • 由于中间件是针对全局操作的,当注释 #‘django.middleware.csrf.CsrfViewMiddleware’,整个网站的链接都不会执行CSRF验证,如果要针对某个链接请求操作使用CSRF操作可以在Views文件的方法上使用装饰器:@csrf_protect(声名使用CSRF)-- 全局不使用CSRF时,某几个需要使用时 –

  • 由于中间件是针对全局操作的,当使用 ‘django.middleware.csrf.CsrfViewMiddleware’,整个网站的链接都会执行CSRF验证,如果要针对某个链接请求禁止通过CSRF操作可以在Views文件的方法上使用装饰器:@csrf_exempt(声名禁止CSRF)-- 全局使用CSRF时,某几个不需要使用时 –

3.缓存

在settings.py文件里面配置:缓存级别

  • 全栈缓存:要使用两个特殊的中间件,放在setting的MIDDLEWARE列表里面,最上面一个,最下面一个。转载:https://www.cnblogs.com/wupeiqi/articles/5246483.html(里面包含缓存Session等知识)。
  • 单独视图缓存
  • 局部视图缓存

Django的六种缓存方式:

  • 开发调试:调试时使用,实际内部不做任何操作

  • 内存:缓存的内容存在内存中

  • 文件:缓存的内容存在文件中

  • 数据库:缓存的内容存在数据库中

  • Memcache缓存(python-memcached模块):此缓存使用python-memcached模块连接Memcache(另外一台机器)可以有三种链接方式,链接另一台机器,链接本机,链接多台机器。

  • Memcache缓存(pylibmc模块):此缓存使用pylibmc模块连接Memcache(另外一台机器)可以有三种链接方式,链接另一台机器,链接本机,链接多台机器。

  • 关于缓存更详细的内容请看转载链接:https://www.cnblogs.com/wupeiqi/articles/5246483.html

  • 关于缓存更详细的内容请看转载链接:https://www.cnblogs.com/wupeiqi/articles/5132791.html

    CACHES = {
    'default':{
        'BACKEND':'django.core.cache.backends.dummy.DummyCache' #引擎(开发调试的引擎)
        'TIMEOUT':300,       #缓存超时时间(默认300,None表示永不过期,0表示立即过期)
        'OPTIONS':{
            'MAX_ENTRIES':300,  #最大缓存个数(默认300)
            'CULL_FREQUENCY':3, #缓存到达最大数之后,剔除缓存个数的比例:1/CULL_FREQUENCY:3,只的是分数1/3,三分之一。
        },
        'KEY_PREFIX':'',        #缓存key的前缀(默认空)
        'VERSION':1,            #缓存key的版本(默认1)
        'KEY_FUNCTION':函数名,   #生成key的函数(默认函数会生成为:[前缀:版本号:key])
	}
}

4.信号(Django预留的钩子)

  1. 内置信号:在指定信号中注入操作函数

    作用:使用Django内部定义的信号,在指定位置 注入 指定操作(触发信号)

  2. 自定义信号:可应用于任何地方,可动态配置

    注:也可以自定义信号

  3. 大多用于大型程序的可扩展项

Model signals
	pre_init     #django的modal执行其构造方法前,自动触发
	post_init    #django的model执行其构造方法后,自动触发
	pre_save     #django的model对象保存前,自动触发
	post_save    #django的model对象保存后,自动触发
	pre_delete   #django的model对象删除前,自动触发
	post_delete  #django的model对象删除后,自动触发
	m2m_changed  #django的model中使用m2m字段操作第三张表(add,remove,clear)前后,自动触发
	#程序启动时,检测已注册的app中modal类,对于每一个类,自动触发
Management signals
	pre_migrate  #执行migrate命令前,自动触发
	post_migrate #执行migrate命令后,自动触发
Request/resonse signals
	request_atarted        #请求到来前,自动触发
	request_finished       #请求结束后,自动触发
	got_request_exception  #请求异常后,自动触发
Test signals
	setting_changed        #使用test测试修改配置文件时,自动触发
	template_rendered      #使用test测试渲染模板时,自动触发
Database Wrappers
	connection_created     #创建数据库连接时,自动触发

使用方法:
from django.db.models.signals import class_prepared
def callback(sender,**Kwargs):
	print("pre_init_callback")
	print(sender,kwargs)
pre_init.connect(callback)
#导入方法:钩子函数名.connect(写好的函数)
#要在项目的__init__.py文件中写或导入

5.BootStrap(模板)-响应式(栅格)+ 模板

下载BootStrap,详细操作请看官方文档。

HashFlag
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
day69 中间件CSRF缓存信号bootstrap
gaosong0623的博客
05-09 560
中间件 django请求的生命周期: 发送请求 URL路由处理 Views处理(去数据库拿数据,去静态文件夹拿HTML模板) 返回给用户 而中间件就是在收到请求之后,URL路由处理之前的东西,他可以帮我们过滤请求,做一些处理等等。 在django项目的settings模块中,有一个 MIDDLEWARE_CLASSES变量,其中每一个元素就是一个中间件中间件中可以定义四个方法,分别是: process_request(self,request) process_view(self, .
python简易实现的 csrf防护
he93007的博客
11-30 518
上一篇讲的是用flask-wtf这个库实现csrf防护 https://blog.csdn.net/he93007/article/details/79980956   这篇讲一下手动实现. 按业务流程来讲 1 用户发起了登录请求  {username:xxxx,passwd:xxxx}   2 后端查询数据库 用户名密码是否正确,是否存在用户   3 存在用户且密码正确,我们...
Django模板开发&重写&使用bootstrap
weixin_43815091的博客
02-23 1632
Django模板开发&重写&使用bootstrap 本文使用Django自带模板系统 base.html Django模板系统离不开base.html这个模板文件,它相当于一个大框架,通过各种block块进行拼接,这部分与vue的模板相似。 你可以在base.html中定义所有页面都不变的部分,比如: {% block header %}定义页面导航栏等头部部分、{% block footer %}定义页面底部版权内容、最重要的是{% block content %}定义页面可变的内容
CSRF攻击与防御(写得非常好)
热门推荐
认知 行动 坚持
12-08 25万+
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
Django CSRF跨站请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A...
Django中如何防范CSRF跨站请求伪造攻击的实现
09-19
### Django中如何防范CSRF跨站请求伪造攻击的实现 #### CSRF概念 CSRF(Cross-Site Request Forgery,跨站请求伪造),是一种常见的安全攻击手段。在这种攻击中,攻击者利用受害者的身份(通常是通过受害者已...
Python Django开发管理后台+Bootstrap响应式网站+源码+开发文档+部署说明(毕业设计&课程设计&项目开发)
最新发布
04-01
Python Django开发管理后台+Bootstrap响应式网站+源码+开发文档+部署说明,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用~ 项目简介: 计划前端实现功能: 1.首页...
TBlog-Django:BootStrap + Django3 + simpleUI 实现的个人博客
05-01
看完就忘,所以就考虑还是边做点什么边学所以做了这个博客前端用的是BootStrap4,这个时候最新版是4.5,几乎没有用到js(可以说完全没用到,只有BootStrap要求的Jquery)后端当然用的是Django,版本是3.07,后台管理...
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1748
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件...
csrf搞了一上午。。终于不403了
azyxa1的博客
04-25 1994
先说我用的是Django2.0就很怪,本来给的方法就是在&lt;form&gt;标签里面加个{%csrf_token%}就OK但是我加了还是403debug页面给的一些方法 我感觉都符合, 百度了别人的方法有的说还说要改render,但是明显render里面已经包含了他们用的requestcontext,所以我也不用改。还有的人加了Middleware 这个也是过时的方法,middleware在2...
SpringBoot+SpringSecurity防护CSRF(基于Html)
【欢迎关注公众号:冬瓜白】
07-22 1万+
关于SpringSecurity防护CSRF网上很多资料都是基于Thymeleaf(jsp)的,连官方文档也是: 但是如果是前后端分离应该怎么处理呢,也可以自己写过滤器实现,不过感觉比较麻烦;其实就算是使用Html实现也是很简单的,可以首先看看SpringSecurity防护CSRF的核心过滤器: 重点看看它的doFilterInternal()方法: 这个方法将CrsfToke...
Bootstrap学习总结笔记(24)-- 基于BootstrapValidator的Form表单验证
kikaylee的专栏
12-11 5834
Form表单进行数据验证是十分必要的,我们可以自己写JS脚本或者使用jQuery Validate 插件来实现。对于Bootstrap而言,利用BootstrapValidator来做Form表单验证是个相当不错的选择,两者完全兼容,我们也不用去关注CSS样式等美工效果
Bootstrap】模态框(Modal)传值踩坑记录
微雨停了的博客
04-26 3625
文章目录一、模态框介绍二、实现效果三、实现代码—整个table部分+js四、分析4.1 html-button传值4.2 javascript-接值并传值4.3 input-接值五、Reference 一、模态框介绍 模态框(Modal)是覆盖在父窗体上的子窗体。通常,目的是显示来自一个单独的源的内容,可以在不离开父窗体的情况下有一些互动。子窗体可提供信息、交互等。 为了实现父窗体与其的交互,通常需要向其传值,实现带参数的传递,查看数据的唯一性。例如下面窗体:点击任意一个模态框("回复"按钮),如果不做任
ajax+bootstrap构建页面元素从而在页面上显示出员工列表和分页导航条
xzy的博客
05-06 356
文章目录ajax+bootstrap构建页面元素从而在页面上显示出员工列表和分页导航条需求数据库的相关表和java中的相关实体类利用jquery发送ajax异步请求build_emps_table方法build_page_info方法build_page_nav方法to_page方法后端控制器中可以接收/emps请求的方法getEmpsWithJsonservice层的getAll方法EmployeeMapper动态代理接口EmployeeMapper.xml映射文件中对应的sql语句测试 ajax+boo
spring boot实战之CSRF跨站请求伪造
思与学的博客
10-06 2万+
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片
bootstrap form表单提交_Flask:表单
weixin_42496830的博客
12-27 1108
摘自 李辉《Flask Web开发实战:入门、进阶与原理解析》WTForms支持在Python中使用类定义表单,然后直接通过类定义生成对应的HTML代码。使用Flask-WTF处理表单扩展Flask-WTF集成了WTForms,使用它可以在Flask中更方便地使用WTForms。Flask-WTF将表单数据解析、CSRF保护、文件上传等功能与Flask集成。Flask-WTF默认为每个表单启用CS...
Gunicorn+django部署
HashFlag的博客
11-17 5034
部署前提是服务器中要有项目中所需的其他服务,例:mysql数据库,nginx,python解释器等,在其他环境搭好的情况下使用此方式可简单部署一个django项目。 至于安装上面提到的这些,有兴趣可点击前往博客查看 1、准备工作 创建干净的虚拟环境 执行下载命令下载所需依赖包 测试数据库链接 测试项目运行 (其中详细步骤上面博客链接中有,这里不赘述了) 2、下载Gunicorn # workon进入项目的虚拟环境中下载 # pip install gunicorn 4、修改配置文件 #
Linux部署Python项目
HashFlag的博客
01-15 3381
项目部署 ​ 项目部署对恩操作通常是由运维人员来进行统一管理装配的,但是对于一个开发人员来讲,基础的项目部署还是要会的。 ​ 这里我主要讲解python的项目是如何部署的,至于项目哪里来的,这就要看观众如何抉择了,可以把自己写好的项目部署,也可以…(此处省略。。。你懂的O.O) ​ 最重要一点就是此篇随笔只是给初级的想部署自己小项目的开发人员看的,小打小闹,大神来此千万别认真,认真你就输了,这要是拿去公司部署,老板当天就能把你开掉,我毕竟不是专业运维人员,只是个草根开
Django中的CSRF(跨站请求伪造)
05-19
CSRF(Cross-Site Request Forgery)即跨站请求伪造,是一种常见的Web攻击方式。攻击者通过伪造用户的请求,来实现恶意操作,例如:以用户的名义发帖、发私信、盗取用户信息等。Django中提供了内置的CSRF防护机制,来保护应用程序免受此类攻击。 Django中的CSRF防护机制是通过在表单中添加一个CSRF令牌来实现的。这个令牌会在服务器端生成,并在表单中作为隐藏字段传递给客户端。当表单被提交时,服务器会验证这个令牌是否合法,如果不合法则拒绝请求。 在Django中开启CSRF防护机制非常简单,只需要在模板中添加`{% csrf_token %}`标签即可。例如: ```html <form method="post"> {% csrf_token %} <!-- 表单内容 --> <input type="submit" value="提交"> </form> ``` 在处理POST请求的视图函数中,如果需要访问POST数据,则需要使用`django.views.decorators.csrf.csrf_protect`装饰器来保护视图函数。例如: ```python from django.views.decorators.csrf import csrf_protect @csrf_protect def my_view(request): if request.method == 'POST': # 处理POST请求 else: # 处理GET请求 ``` 如果需要在某个视图函数中关闭CSRF防护机制,可以使用`django.views.decorators.csrf.csrf_exempt`装饰器来取消保护。例如: ```python from django.views.decorators.csrf import csrf_exempt @csrf_exempt def my_view(request): # 处理请求 ``` 总之,DjangoCSRF防护机制可以有效地保护应用程序免受跨站请求伪造攻击。如果你的应用程序涉及到敏感数据或者操作,一定要开启CSRF防护机制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值