django前后端结合_Django前后端分离,中间件CsrfViewMiddleware源码分析

最新推荐文章于 2023-07-18 15:55:00 发布
最新推荐文章于 2023-07-18 15:55:00 发布
阅读量226 收藏
点赞数
文章标签: django前后端结合
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30304423/article/details/112075129
版权

本文分析了django前后端分离项目中关于csrf的token获取和验证的源码

前后端分离项目获取token通过提前发起get请求,后端将token存储在cookie中,第二次post请求前端将token从cookie中放到请求头中,后端验证这两个值是否一致来避免csrf攻击,写的比较简单,见谅。

django 1.11.22

djangorestframework 3.9.4

djangorestframework-jwt 1.11.0

1.通过中间件的执行顺序,CsrfViewMiddleware中间件最开始执行process_view()方法,这一步作用是从cookie中获取token值,判断如果是get请求(还包括'HEAD', 'OPTIONS', 'TRACE')就通过,如果是其他请求则验证token和请求头中的token是否一致,不一致就返回403。

e16a0bc1268133e2f98a5e944a8d806b.png

2.由于第一次get请求就是为了获取token的,所以cookie中获取不到token

cbed873400cdb9dbcd11f54adfce28d2.png
d61650decf85c206fc4dc4f5129ff1bb.png

3.通过在get请求的视图函数里执行rotate_token(request)来获取token值。

802a90f021c06929632ed69a8f3bdc1f.png

4.从rotate_token()函数中看到,新的token值暂时存储在META中,在中间件返回响应的时候通过_set_token方法存储到cookie中。

960e0de04cc11fcd3e4399061b938f42.png

5.接下来到了CsrfViewMiddleware中间件的process_response()方法,这是中间件返回响应的最后一步,由于函数rotate_token()中设置了request.csrf_cookie_needs_reset = True,META.get("CSRF_COOKIE_USED") =True,所以会执行_set_token()方法来设置cookie。

5da74cf6b584aac3d6718c17b9909b9a.png

6.在_set_token()方法中把token值存储在cookie中,get请求获取token值到这里结束了。

6f675f199d65e491161215eb4387119b.png

7.通过postman模拟post请求,把token放到请求头

bc1c7eaefab55941305d8dfda1d6b7b2.png

8.这次cookie中携带了token,验证token的有效性。

5ffdb0060ebf3951528c2b3e5d662ef4.png

8.由于是post请求,还要验证cookie中的token和请求头中的token。

adedf1a412cca9ce61dfe466fdd7c18c.png

9.如果cookie中的token和请求头中的token一致,则验证通过,执行对应的视图函数。

05987fd4bcc2efbaf2be036ea5bf8ed0.png

10.又一次来到了CsrfViewMiddleware中间件的process_response()方法,这是中间件返回响应的最后一步,由于没有执行函数rotate_token(),所以不会执行_set_token()方法来重新设置cookie,直接返回响应,请求结束。

f5f4cfefa8cb80147d3a1b66a678dd8f.png

最后,说一下另一个获取token的函数get_token(),如果执行了这个函数,会有两种情况:

1.如果cookie中携带了token值,token值会暂时存储在META中,而这个函数会判断META中已存在token,不会修改,最后在_set_token中把这个token值重新存储到cookie中,不理解django为什么要这样做???

2.如果cookie中没有token值,这个函数会生成新的token值暂时存储在META中,最后在_set_token中把这个token值存储到cookie中,实现和rotate_token()函数获取token一样的效果。

张信林
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web开发(八):中间件应用及前后端分离开发入门
ml202187的博客
07-19 826
之前我们已经实现了用户必须登录才能投票的限制,但是一个新的问题来了。如果我们的应用有很多功能都需要用户先登录才能执行,例如将前面导出Excel报表和查看统计图表的功能都做了必须登录才能访问的限制,那么我们是不是需要在每个视图函数添加代码来检查session是否包含`userid`的代码呢?答案是否定的,如果这样做了,我们的视图函数必然会充斥着大量的重复代码。编程大师*Martin Fowler*曾经说过:**代码有很多种坏味道,重复是最坏的一种**。在Python程序,我们可以通过装饰器来为函数
django源码分析中间件CsrfViewMiddleware
Victor_Monkey的博客
12-18 1059
本文环境python3.5.2,django1.10.x系列 介绍django关于跨域请求保护的内容,主要由其一个中间件完成,下面稍微讲一下关于csrf原理和django中间件在请求作用,重点将放到CsrfViewMiddleware间键的源码讲解。 csrf原理 CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存...
前后端分离架构怎么落地
360linker
08-05 1475
前后端分离本质上是工作职责的细化。这两年前后端分离的呼声越发高涨,最重要的原因在于后端工程师不能简单的完成前端方面的工作。前端这段时间以来新的技术层出不穷,这种情况下后端无法简单的掌握前端技术,即使对前端来说也有一定的负担。前端的门槛越来越高,一个人无法将所有的事情都做完,也是前后端分离的一方面因素。 典型的业务场景   前后端分离其实也并非万能良药,对应不同的业务场景情况会有所不同...
前后端分离之Node中间件
乐夫天命兮的博客
02-26 1786
前言 随着公司技术革新,Node.js逐渐应用在新技术体系,从2009年发布至今Node.js逐渐成熟和日趋稳定。一般的做法都是将原本属于后端的一部分相对于业务不是很重要的功能迁移到Node.js上面来,也有一些公司将Node.js作为前后端分离的一个解决方案去施行。国内最早淘宝网完成了前后端分离,也提供了一个很大的开发导向。 前端分离之前生今世 在最初的web开发,行业主要将浏览器作为前后端...
【15.0】Django框架之中间件引入
最新发布
Chimengmeng的博客
07-18 188
【一】Django中间件介绍 【1】什么是Django中间件 Django中间件是一个轻量级、可重用的组件,用于处理Django请求和响应的过程。 它提供了对请求和响应进行全局处理的机制,可以在请求达到视图之前进行预处理或在响应返回给客户端之前进行后处理。 中间件是按照顺序依次执行的,每个中间件都可以对请求和响应进行修改、补充或处理。 在Django的settings.py配置文...
Python Django 前后端分离 API的方法
09-18
Python Django框架作为强大的Web开发工具,也支持实现前后端分离。本文将详细介绍如何在Django实现前后端分离,并通过API提供数据交互。 首先,我们需要创建一个新的应用。在Django项目,使用`manage.py`文件...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
Django框架提供了一个内置的中间件`django.middleware.csrf.CsrfViewMiddleware`来帮助开发者防范这种攻击。 **一、Django后台处理** 1. **启用CSRF保护中间件**: 在Django项目的`settings.py`文件,你需要...
Django框架之中间件MiddleWare的实现
12-23
Django中间件Middleware)是其核心特性之一,它提供了一种灵活且强大的方式来扩展框架的功能,无需改动Django的源代码。中间件在请求处理的生命周期扮演着关键角色,可以在请求到达视图之前或者响应离开视图之后...
django框架中间件原理与用法详解
09-18
首先,我们来看一下Django中间件的默认配置。在`settings.py`文件,`MIDDLEWARE`列表定义了应用的所有中间件。以下是一段示例: ```python MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', ...
Django中间件解析
bocai_xiaodaidai的博客
03-20 1388
一、什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。 每个中间件组件都负责做一些特定的功能。但是由于其影响的是全局,所以需要谨慎使用,使用不当会影响性能。 说的直白一点中间件是帮助我们在视图函数执行之前和执行之后都可以做一些额外的操作,它本质上就是一个自定义类,类定义了几...
中间件csrf
大多博客仅为学习笔记使用
12-11 202
目录-中间件--介绍--自定义中间件---方法---process_request(self, request)---process_response(self, request, response)---process_view(self, request, view_func, view_args, view_kwargs)---process_template_response(self, request, response)---process_exception(self, request, ex
Django中间件拦截未登录url
angchixian6300的博客
09-03 1038
1.利用装饰器在视图拦截未登录的url @login_required(login_url='/user/login/') def homepage(request): pass 这种方法适合于程序只有少数几个需要登录拦截的url。 2. 利用中间件技术拦截未登录的url 2.1 在settings.py添加MIDDLEWARE设置:middlewa...
Django 之前端获取 csrftoken 的几种方式以及源码解释(超详细)
她°
06-10 4479
如果是前后端不分离的项目,django 为了防止 XSS 攻击,要求所有 form 表单提交时加上 标签,前端会再 html 加入一个 input 标签 这个中间件就是来验证 csrf_token 如果没有加,就会出错,这个 token 每次刷新页面时都会刷新,客户在请求时。会再服务器端生成一个 token,然后放在 cookie里面,每次 post 请求都会带上这个 token,去和表单里面的去对比。官⽅⽂档说到,检验token时,只⽐较secret是否和cookie的secret值⼀样,⽽不是
关于django中间件CsrfViewMiddleware的探究
LawssssCat的博客
12-07 1096
django中间件CsrfViewMiddleware源码分析,探究csrf实现文翻译DjangoWeb开发关于CSRF的正确配置by Mr数据杨。
Django CSRF(什么是CSRF?)\Django前后端分离csrf token获取方式
西京刀客
12-07 1508
Django CSRF 浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。 浏览器的同源策略并不能阻止CSRF攻击。 什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是跨站请求伪造。 Django CSRF django为用户实现防止跨站请求伪造的功能,通过中间件django.middleware.csrf.CsrfViewMiddle
Django框架(二十四:前后端分离之分页的设置和csrf认证的解决)
qq_41989320的博客
12-03 2370
前后端分离开发和混合开发的区别还是很大的。前后端分离我们需要遵循restful规范,先介绍什么是restful api规范 a.同一种数据的操作,只设置一个url路由。也就是根据请求方法来区分具体的处理逻辑。而不再设置多个增删改查的路由。 (1)可以基于FBV来通过请求方法的不同,处理不同的逻辑。 url(r'^order/', views.order), ...
Django前后端分离CSRF的处理方法
MSB4011的博客
05-19 404
具体方式:通过调用middleware.csrf的get_token(request)函数设置csrftoken。
django前后端分离csrf解决办法
qq_42402381的博客
08-30 3243
之前学习django时,总是把那个csrf中间件注释掉,现在把这个bug修复吧。 1.定义csrftoken接口,主要是为前端设置csrftoken,相关代码如下: from django.middleware.csrf import get_token def getToken(request): token=get_token(request) return Http...
关于前后端分离项目CSRF等一系列问题的理解小结
MSB4011的博客
07-06 686
CSRF和CORS的问题上搞了这么久,一个是因为平时工作忙,学这些东西陆陆续续的,另外也确实是因为这些个问题一环套一环,想要完全解决掉需要理解并处理很多问题同时,自己对于这个问题最终通过服务端允许跨域+前端保持相同ip的解决方式并不满意,后续将尝试使用Node.js代理的方式来解决个问题。
django安全的中间件
05-26
Django有很多内置的安全中间件,可以帮助你保护你的应用程序。以下是一些常用的安全中间件: 1. `django.middleware.security.SecurityMiddleware`:它提供了一些基本的安全性保护,如XSS保护,点击劫持保护等。 2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值