Django之cbv加装饰器、中间件及CSRF_TOKEN跨站请求伪造

最新推荐文章于 2020-12-27 17:00:29 发布
最新推荐文章于 2020-12-27 17:00:29 发布
阅读量2k 收藏
点赞数
分类专栏: python 文章标签: 中间件 django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wcg920212/article/details/109225907
版权
本文详细介绍了Django中的类视图装饰器使用,中间件的定义、自定义及五个核心方法,包括process_request、process_view、process_template_response、process_exception和process_response。同时,深入探讨了CSRF_TOKEN防止跨站请求伪造的概念、应用场景和处理方法,包括在form表单和ajax提交中的实现。
摘要由CSDN通过智能技术生成

文章目录

1、cbv加装饰器

CBV中django不建议直接给类的方法加装饰器

# 登录认证装饰器
def login_auth(func):
    def inner(request, *args, **kwargs):
        # 登录校验
        name = request.COOKIES.get('name')
        if name:
            res = func(request, *args, **kwargs)
            return res
        else:
            path = request.get_full_path()
            return redirect('/login/?returnUrl=%s' % path)
    return inner

from django.views import View
from django.utils.decorators import method_decorator
# 使用登录认证装饰器
# 方式一: 可以添加多个针对不同的方法加不同的装饰器
# @method_decorator(login_auth,name='get')
# @method_decorator(login_auth,name='post')
class UserInfo(View):
	# 方式二: 会直接作用于当前类里面的所有的方法
	@method_decorator(login_auth)
    def dispatch(self, request, *args, **kwargs):
        return super().dispatch(request,*args,**kwargs)
    # 方式三: 指名道姓
    @method_decorator(login_auth)
    def get(self, request, *args, **kwargs):
        return HttpResponse('userinfo get')
    
    @method_decorator(login_auth)
    def post(self, request, *args, **kwargs):
        return HttpResponse('userinfo post')

2、中间件

2.1、定义
中间件顾名思义,是介于request与response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出,因为改变的是全局,所以需要谨慎实用,用不好会影响到性能

# django中间件是django的门户
1、请求来的时候需要先经过中间件才能到达真正的django后端
2、响应走的时候最后也需要经过中间件才能发送出去

# django内置中间件
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',

class SessionMiddleware(MiddlewareMixin):
    def process_request(self, request):
        session_key = request.COOKIES.get(settings.SESSION_COOKIE_NAME)
        request.session = self.SessionStore(session_key)
    def process_response(self, request, response):
        return response
      
class CsrfViewMiddleware(MiddlewareMixin):
  	def process_request(self, request):
        csrf_token = self._get_token(request)
        if csrf_token is not None:
            # Use same token next time.
            request.META['CSRF_COOKIE'] = csrf_token
    def process_view(self, request, callback, callback_args, callback_kwargs):
        return self._accept(request)

    def process_response(self, request, response):
        return response
      
class AuthenticationMiddleware(MiddlewareMixin):
    def process_request(self, request):
        request.user = SimpleLazyObject(lambda: get_user(request))
2.2、如何自定义中间件
1、在项目名或者应用名下创建一个任意名称的文件夹
2、在该文件夹内创建一个任意名称的py文件
3、在该py文件内需要书写类(这个类必须继承MiddlewareMixin)
   然后在这个类里面就可以自定义五个方法了
	(这五个方法并不是全部都需要书写,用几个写几个)
4、需要将类的路径以字符串的形式注册到配置文件中才能生效

MIDDLEWARE = [
	'你自己写的中间件的路径1',
    '你自己写的中间件的路径2',
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    '你自己写的中间件的路径3',
    '你自己写的中间件的路径4',
]

注意:你自己写的中间件的加载位置放在前面和放在后面是有影响的

2.3、中间件中的五个方法
process_request(self,request)
process_view(self, request, callback, callback_args, callback_kwargs)
process_template_response(self,request,response)
process_exception(self, request, exception)
process_response(self, request, response)
2.3.1、process_request和process_response

当用户发起请求的时候会依次经过所有的的中间件,这个时候的请求时process_request,最后到达views的函数中,views函数处理后,在依次穿过中间件,这个时候是process_response,最后返回给请求者
在这里插入图片描述

process_request 

1、请求来的时候需要经过每一个中间件里面的process_request方法,结果的顺序是按照配置文件中注册的中间件从上往下的顺序依次执行
2、如果中间件里面没有定义该方法,那么直接跳过执行下一个中间件
3、如果该方法返回了HttpResponse对象,那么请求将不再继续往后执行,而是直接原路返回(校验失败不允许访问...)
process_request方法就是用来做全局相关的所有限制功能

process_response

1、响应走的时候需要经过每一个中间件里面的process_response方法,该方法有两个额外的参数request,response
2、该方法必须返回一个HttpResponse对象
	(1)默认返回的就是形参response
	(2)也可以自己返回自己的
3、顺序是按照配置文件中注册了的中间件从下往上依次经过,如果你没有定义的话 直接跳过执行下一个

如果在第一个process_request方法就已经返回了HttpResponse对象,那么响应走的时候就会直接走同级别的process_reponse返回,如下图:
在这里插入图片描述

2.3.1.1、process_request的作用
可以写中间件,不管前端用什么编码格式,在requset.data中都有post的数据
频率限制(比如限制某个ip地址,一分钟只能访问5)
登录认证(只要没登录,重定向到login路径)
记录用户访问日志(比如ip,时间,访问路径)
2.3.1.2、process_request的作用
统一给所有(某几个路径)加cookie
统一给所有(某几个路径)加响应头

总结
1、中间件的process_request方法是在执行视图函数之前执行的
2、当配置多个中间件时,会按照MIDDLEWARE中的注册顺序,也就是列表的索引值,从前到后依次执行
3、不同中间件之间传递的request都是同一个对象

多个中间件中的process_response方法是按照MIDDLEWARE中的注册顺序倒序执行的,也就是说第一个中间件的process_request方法首先执行,而它的process_response方法最后执行,最后一个中间件的process_request方法最后一个执行,它的process_response方法是最先执行

2.3.2、process_view
process_view(self, request, view_func, view_args, view_kwargs)
该方法有四个参数
request是HttpRequest对象
view_func是Django即将使用的视图函数(它是实际的函数对象,而不是函数的名称作为字符串)
view_args是将传递给视图的位置参数的列表
view_kwargs是将传递给视图的关键字参数的字典,view_args和view_kwargs都不包含第一个视图参数(request)
Django会在调用视图函数之前调用process_view方法

路由匹配成功之后执行视图函数之前,会自动执行中间件里面的该放法
顺序是按照配置文件中注册的中间件从上往下的顺序依次执行

# 路由匹配成功,视图函数执行之前执行
def process_view(self, request, callback, callback_args, callback_kwargs):
    # print(callback)  callback就是视图函数
    # print(callback_args)
    # print(callback_kwargs)
    
    res=callback(request)  # 类似于装饰器的效果,可以在这个前面加逻辑,也可以在这个后面添加逻辑

    print("中间件的process_view")
    # return res

在这里插入图片描述
注意:process_view如果有返回值,会越过其他的process_view以及视图函数,但是所有的process_response都还会执行

2.3.3、process_exception
process_exception(self, request, exception)
该方法两个参数:
一个HttpRequest对象
一个exception是视图函数异常产生的Exception对象

这个方法只有在视图函数中出现异常了才执行,它返回的值可以是一个None也可以是一个HttpResponse对象。如果是HttpResponse对象,Django将调用模板和中间件中的process_response方法,并返回给浏览器,否则将默认处理异常,如果返回None,则交给下一个中间件的process_exception方法来处理异常,它的执行顺序也是按照中间件注册顺序的倒序执行

当views出现错误时,如下图:
在这里插入图片描述

2.3.4、process_template_response
该方法对视图函数返回值有要求,必须是一个含有render方法类的对象,才会执行此方法
返回的HttpResponse对象有render属性的时候才会触发
顺序是按照配置文件中注册了的中间件从下往上依次经过

class Test:
    def __init__(self,status,msg):
        self.status=status
        self.msg=msg
    def render(self):
        import json
        dic={'status':self.status,'msg':self.msg}

        return HttpResponse(json.dumps(dic))
def index(response):
    return Test(True,'测试')

3、CSRF_TOKEN跨站请求伪造

3.1、钓鱼网站
搭建一个跟正规网站一模一样的界面(比如xx银行)
用户不小心进入到了我们的网站,用户给某个人打钱
打钱的操作确实是提交给了xx银行的系统,用户的钱也确实减少了
但是唯一不同的是,打钱的账户不是用户想要打的账户,却变成了一个莫名其妙的账户

内部本质:
我们在钓鱼网站的页面,针对对方账户,只给用户提供一个没有name属性的普通input框
然后我们在内部隐藏一个已经写好name和value的input
3.2、csrf跨站请求伪造校验(避免上述问题的方法)
网站在给用户返回一个具有提交数据功能页面的时候会给这个页面加一个唯一标识
当这个页面朝后端发送post请求的时候 我的后端会先校验唯一标识,如果唯一标识不对就直接拒绝(403 forbbiden)如果成功则正常执行

后期中间件不能注释,每次发送post请求,都需要携带csrf_token随机字符串
3.3、form表单提交
在form表单中 {% csrf_token %}
3.4、ajax提交
# 方式一: 放到data中
$.ajax({
    url: '/csrf_test/',
    method: 'post',
    data: {
    	'name': $('[name="name"]').val(),
        'password': $('[name="password"]').val(),
        'csrfmiddlewaretoken':$('[name="csrfmiddlewaretoken"]').val()
    },
    success: function (data) {
        console.log('成功了')
        console.log(data)

    },
    error: function (data) {
        console.log('xxxxx')
        console.log(data)
    }
})

# 方式二: 放到data中
'csrfmiddlewaretoken':'{{ csrf_token }}'

# 方式三: 放到headers头中
headers:{'X-CSRFToken':'{{csrf_token}}'}

# jquery.cookie.js
在浏览器中对cookie进行增,删,查,改
前后端分离(js操作cookie)
3.5、csrf相关装饰器
1、网站整体都不校验csrf,就单单几个视图函数需要校验
2、网站整体都校验csrf,就单单几个视图函数不校验

from django.views.decorators.csrf import csrf_protect,csrf_exempt
from django.utils.decorators import method_decorator

csrf_protect  需要校验
    针对csrf_protect符合之前使用的装饰器的三种用法
csrf_exempt   忽视校验
    针对csrf_exempt只能给dispatch方法加才有效

# @csrf_exempt
# @csrf_protect
def transfer(request):
    if request.method == 'POST':
        username = request.POST.get('username')
        target_user = request.POST.get('target_user')
        money = request.POST.get('money')
        print('%s给%s转了%s元'%(username,target_user,money))
    return render(request,'transfer.html')

from django.views import View

# @method_decorator(csrf_protect,name='post')  # 针对csrf_protect 可以
# @method_decorator(csrf_exempt,name='post')  # 针对csrf_exempt 不可以
@method_decorator(csrf_exempt,name='dispatch')
class MyCsrfToken(View):
    # @method_decorator(csrf_protect)  # 针对csrf_protect 可以
    # @method_decorator(csrf_exempt)  # 针对csrf_exempt 可以
    def dispatch(self, request, *args, **kwargs):
        return super(MyCsrfToken, self).dispatch(request,*args,**kwargs)

    def get(self,request):
        return HttpResponse('get')

    # @method_decorator(csrf_protect)  # 针对csrf_protect 可以
    # @method_decorator(csrf_exempt)  # 针对csrf_exempt 不可以
    def post(self,request):
        return HttpResponse('post')

# 特殊的使用方式,在urls.py中
path('csrf_test/', csrf_exempt(views.csrf_test))
一切随心走_水瓶
关注
专栏目录
Django中间件介绍、自定义中间件csrf跨站请求伪造
大大的博客
06-02 327
文章目录一、 Django中间件介绍二、 自定义中间件process_request(重点)process_response方法(重点)process_view方法(了解)process_exception方法(了解)process_template_response方法(了解)三、 中间件的执行流程四、 中间件版登录验证五、 CSRF_TOKEN跨站请求伪造csrf使用csrf相关装饰器总结 一、 Django中间件介绍 什么是中间件? Middleware is a framework of hook
Django—— FBV/CBV强制与放行csrf_token认证
FM黎明之前的博客
10-24 283
csrf_toekn认证机制: django中对POST请求csrf会进行认证处理,csrf认证机制是防御跨站伪造功能,在没有任何处理的前提下,POST请求会报错。csrf认证中间件是在process_view执行(通过装饰器强制认证或者放行可知,并不是走process_view中间件。),同时对类中的方法进行CSRF装饰器操作需要: # 注意:FBV只能添在dispatch方法上(或者装饰在类上指定dispatch方法),类中单独方法无效。 from django.views.decorators.c
浅谈Django中间件与Python的装饰器
asd5196251的博客
11-19 279
浅谈Django中间件 与Python的装饰器 一、原理 1.装饰器是Python的一种语法应用,利用闭包的原理去更改一个函数的功能,即让一个函数执行之前先到另外一个函数中执行其他需求语句,在执行该函数。在开发项目中,通常使用装饰器来管理权限,登录等等,配上Python的 @ 语法糖,轻松实现代码的重用性和低耦合性。 2.而Django中的中间件是利用面向切面的编程思想,对Django...
django 装饰器遇到的问题
jidushanzhu的博客
12-15 262
参考网址: https://blog.csdn.net/qq_34663267/article/details/82799527 https://stackoverflow.com/questions/63060117/function-object-has-no-attribute-get-in-django https://stackoverflow.com/questions/51168727/attributeerror-object-has-no-attribute-get 'functio
Django:(05)类视图,装饰器中间件
mzfly的博客
11-18 292
Django:(05)类视图,装饰器中间件 一、类视图的定义和使用 在Django中还可以通过类来定义一个视图,称为类视图。 定义一个类视图:定义一个类,需继承 Django 提供的 View 类 。 from django.views.generic import View class TestView(View): def g...
[bzoj1225][DP][奇技淫巧]求正整数
Rose_max的博客
09-19 1万+
Description 对于任意输入的正整数n,请编程求出具有n个不同因子的最小正整数m。例如:n=4,则m=6,因为6有4个不同整数因子1,2,3,6;而且是最小的有4个因子的整数。 Input n(1≤n≤50000) Output m Sample Input 4 Sample Output 6 题解 高精度问题 如果不涉及减法 可以对答案取对数进行计算 这是这题的小...
Method called after release()
热门推荐
hopehe888999的专栏
07-30 3万+
最近在做公司的一个项目模块时要用到相机,由于采用了以前的代码在UI线程中操作相机时,经常会碰到程序ANR的情况,后来索性一狠心改,翻看google的官方文档说明,官方是建议用异步线程对camera 进行操作,后来改用异步任务操作camera :/** * 打开相机工具类,放在线程中执行,防止阻塞主线程 * @author hopehe */ public class OpenCameraWo
Django - CSRF(Cross-site request forgery 跨站请求伪造
LIN的博客
11-23 579
目录 一、CSRF(Cross-site request forgery 跨站请求伪造) 1-1 CSRF 攻击原理 1-3 CSRF 攻击防范方式(主流的三种策略)  1-3-1 验证HTTP Referer 字段 1-3-2 在请求地址中添token并验证 1-3-3 在 HTTP 头中自定义属性并验证  二、 Django中的CSRF防范 - 中间件csrf_token的使用...
python前后端分离跨域请求_前后端分离,解决跨域问题及djangocsrf跨站请求保护...
weixin_34855166的博客
12-23 321
1. 前后端分离解决跨域问题解决跨域调用服务并设置headers 主要的解决方法需要通过服务器端设置响应头、正确响应options请求,正确设置 JavaScript端需要设置的headers信息 方能实现;关于跨域,前端会先发送OPTIONS请求,进行预检,检查后端是否允许前端设置的相应的请求头,请求内容functiongetCookie(name) {var cookieValue = nul...
Django使用中间键实现csrf认证详解
09-19
Django框架中,CSRF(Cross Site Request Forgery,跨站请求伪造)是一种重要的安全机制,用于防止恶意第三方在用户浏览器中冒充用户发送非预期的请求Django通过中间件`django.middleware.csrf....
http状态码详解
weixin_42925196的博客
08-15 4720
http状态码详解 常用状态码:200,400,403,404,500,503 200:ok 请求响应成功。 400:bad request 请求内容格式有误 403:forbbiden 服务端拒绝了客户端的请求 404: not found 地址错误 500: Internal Server Error 服务器内部错误 503: Service Unavailable 服务器处...
git_http
yukuiadeyu2的博客
12-08 5360
1.掌握从远程仓库克隆项目 2.掌握将本地仓库代码推送(push)到远程仓库 3.掌握从远程仓库拉取(pull)最新代码 4.掌握如何解决冲突 1. Git简介 1.1. Git是什么? Git是目前世界上最先进的分布式文件版本控制系统工具(没有之一)。对于我们java程序员而言,管理的就是代码文件版本。 1.2. Git和GitHub 什么是GitHub? 确切的说 GitHub 是一家公司,位...
Xshell6 解压直接使用
蓝天
12-27 7512
Xshell6 绿色版直接解压就可以用 链接:https://pan.baidu.com/s/1c901fKlVQleLXxpBHMfeIw 提取码:54o1 复制这段内容后打开百度网盘手机App,操作更方便哦
[bzoj3238][后缀数组][ST表]差异
Rose_max的博客
09-20 1341
Description Input 一行,一个字符串S Output 一行,一个整数,表示所求值 Sample Input cacao Sample Output 54 HINT 2<=N<=500000,S由小写英文字母组成 题解 预处理height 预处理一个ST表 考虑一个位置的height能做的贡献 显然是这个位置往前往后连续的一段 二分段 但是可能...
FOJ 题目 2075 Substring (后缀数组求出现k次的最小字典序子串)
Jogging_Clown
08-27 1万+
Problem 2075 Substring Accept: 70    Submit: 236 Time Limit: 1000 mSec    Memory Limit : 65536 KB Problem Description Given a string, find a substring of it which the original string conta
RxAndroid+Retrofit+Lambda上手项目
专栏
12-09 1万+
查看项目请点击这里:项目地址这里lambda需要java8的支持,先来配置一下环境 在app包下的那个build.gradle中入如下代码compileOptions{ sourceCompatibility JavaVersion.VERSION_1_8 targetCompatibility JavaVersion.VERSION_1_8 }看一下bu
Nginx基础架构和配置
weixin_41047549的博客
05-18 2万+
特性 模块化设计,较好的扩展性,动态载。 高可用性 支持热部署,不停机更新配置文件,升级版本,更换日志文件。 低内存消耗,10k keep-alive连接在非活动模式下大概2.5M。 事件驱动模型,Aio,mmap,sendfile。 传统网络传输过程 硬盘 >> kernel buffer >> user buffer>> kernel socket b...
详解DjangoCSRF认证实现
zcg359670476的博客
12-16 378
什么是 CSRF CSRF, Cross Site Request Forgery, 跨站伪造请求。举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。 1.csrf原理 csrf要求发送post,put...
解决Wamp 开启vhost localhost 提示 403 Forbbiden 的问题!
gestoew的博客
01-30 5919
今天在wamp集成环境下配虚拟主机,没想到虚拟主机开启后,localhost竟然无法访问了,访问 http://localhost/ 提示  403 Forbbiden。觉得可能跟我设置了虚拟主机有关系,因为 # Virtual hosts #Include conf/extra/httpd-vhosts.conf 注释掉,localhost就可以访问。 可能是因为开了虚拟主机,默认访
Django中的CSRF(跨站请求伪造)
最新发布
05-19
CSRF(Cross-Site Request Forgery)即跨站请求伪造,是一种常见的Web攻击方式。攻击者通过伪造用户的请求,来实现恶意操作,例如:以用户的名义发帖、发私信、盗取用户信息等。Django中提供了内置的CSRF防护机制,...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值