Django-admin、基本数据类型、csrf攻击

最新推荐文章于 2023-04-09 20:02:01 发布
最新推荐文章于 2023-04-09 20:02:01 发布
阅读量177 收藏
点赞数
文章标签: python
原文链接:http://www.cnblogs.com/huanghongzheng/p/11201749.html
版权

django数据类型与mysql数据类型比较

1659176-20190717162419665-1437184460.png

参数
max_length=32
null=True  : 可以设置为null
db_index=True : 设置索引
default : 设置默认值
unique : 设置唯一索引
                            
db_column: 设置一个列名
                        
unique_together: 联合唯一索引
index_together :普通联合索引
class Meta:
        unique_together = (
        ('money', 'us_id'),
                                    ....
        )
        index_together = (
        ('money', '')
                                    ....
        )

django-admin

django自带的管理后台系统
命令生成:
    python3 manage.py  createsuperuser
想要管理自己生成的表:
    admin.py:
    from app01 import models
    admin.site.register(models.UserInfo)
        
    
django-admin中的列类型:
EmailField(CharField):
    - 字符串类型,Django Admin以及ModelForm中提供验证机制
IPAddressField(Field)
     - 字符串类型,Django Admin以及ModelForm中提供验证 IPV4 机制
GenericIPAddressField(Field)
    - 字符串类型,Django Admin以及ModelForm中提供验证 Ipv4和Ipv6
- 参数:
    protocol,用于指定Ipv4或Ipv6, 'both',"ipv4","ipv6"
    unpack_ipv4, 如果指定为True,则输入::ffff:192.0.2.1时候,可解析为192.0.2.1,开启刺功能,需要protocol="both"
URLField(CharField)
    - 字符串类型,Django Admin以及ModelForm中提供验证 URL
SlugField(CharField)
    - 字符串类型,Django Admin以及ModelForm中提供验证支持 字母、数字、下划线、连接符(减号)
CommaSeparatedIntegerField(CharField)
    - 字符串类型,格式必须为逗号分割的数字
UUIDField(Field)
    - 字符串类型,Django Admin以及ModelForm中提供对UUID格式的验证
FileField(Field)
    
djagno-admin中的参数 :
    verbose_name        Admin中显示的字段名称        
    
    blank               Admin中是否允许用户输入为空
    editable            Admin中是否可以编辑
    help_text           Admin中该字段的提示信息

    choices             Admin中显示选择框的内容,用不变动的数据放在内存中从而避免跨表操作
    choices = (
        (1, '男'),
        (2, '女')
        )
    gender = models.IntegerField(choices=chocies)
            
    id name  gender (男女)

CSRF攻击

开启全局的csrf验证
  1. settings中,打开注释 'django.middleware.csrf.CsrfViewMiddleware',
  2. 表单中,开启csrf_token
<form>
    {% csrf_token %}
    <input type='text'>
</form>

如上, 全站都会进行csrf验证

关闭部分的csrf验证:
  1. settings中,打开注释 ====》'django.middleware.csrf.CsrfViewMiddleware',
  2. views中,引入如下函数
from django.views.decorators.csrf import csrf_exempt
                    
@csrf_exempt
def csrf1(request):
if request.method == 'GET':
    return render(request, 'csrf1.html')
else:
    return HttpResponse('ok')

如上, 即便全局开启验证,但是可以使用装饰器进行特殊处理,不使用

开启部分的CSRF验证:
  1. settings中,注释 ====》#'django.middleware.csrf.CsrfViewMiddleware',
  2. views中,引入如下函数
from django.views.decorators.csrf import csrf_protect
@csrf_protect
def csrf1(request):
    if request.method == 'GET':
        return render(request, 'csrf1.html')
    else:
        return HttpResponse('ok')

如上, 即便全局关闭验证,但是可以使用装饰器进行特殊处理

CBV:

若是CBV:

from django.utils.decorators import method_decorator
@method_decorator(csrf_protect, name='get')
class User(View):
def get(self, request):
    pass
def post(self, request):
    pass
ajax:
csrftoken = $('input[name="csrfmiddlewaretoken"]').val()
$.ajax({
type:"POST",
url : '/xxxx/',
data: {"name":'xxxx'},
headers : {'X-CSRFToken': token},
success: function(){
console.log(data)
}
})
# 第一种
data:{'csrfmiddlewaretoken':$('[name="csrfmiddlewaretoken"]').val()}
# 第二种
data:{'csrfmiddlewaretoken':'{{ csrf_token }}'}
xxx.html
<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8">
    <title>Title</title>
</head>
<body>

<form action="/login/" method="post">
    {% csrf_token %}
    <input type="text" name="account">
    <input type="submit">    
</form>
</body>
</html>

转载于:https://www.cnblogs.com/huanghongzheng/p/11201749.html

weixin_30840573
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
django前后端分离csrf解决办法
qq_42402381的博客
08-30 3244
之前学习django时,总是把那个csrf的中间件注释掉,现在把这个bug修复吧。 1.定义csrftoken接口,主要是为前端设置csrftoken,相关代码如下: from django.middleware.csrf import get_token def getToken(request): token=get_token(request) return Http...
django-2.0
01-16
一旦安装完成,你可以使用`django-admin startproject`命令创建一个新的Django项目,然后按照官方文档的指导进行设置和开发。 在解压缩的文件"django-2.0"中,可能包含Django 2.0的源码、文档、示例项目或其他相关...
Django网络安全】如何正确防护CSRF跨站点请求伪造
黎明总是如期而至
04-09 725
CSRF(Cross-site request forgery),中文名跨站点请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器中的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
django + vue-admin-template解决CSRF Failed: CSRF token missing or incorrect 问题
SKY_PLA的博客
01-07 4354
背景:vue使用Network进行登录的时候 报错 403,但是在localhost的时候就没问题,进行了一下对比,network header中多了一个cookie,local中就没有,再结合django默认有csrf跨站点请求伪造,翻了翻文档,得知需要在header中添加X-CSRFToken,解决办法如下: 解决办法: 在vue-admin-template utils/request.js中加入获取csrftoken的方法 原先的方法是在有token的情况下vue才会在header中加入token,
进击的Python【第二十二章】
weixin_34266504的博客
01-13 117
day22 知识点概要 - Session - CSRF - Model操作 - Form验证(ModelForm) - 中间件 - 缓存 - 信号 内容详细: 1. Session 基于Cookie做用户验证时:敏感信息不适合放在cookie中 a. Session原理 Cookie是保存在用户浏览器端的键值对 Session是保存...
Python Django框架admin管理后台与JWT token冲突 CSRF Failed: CSRF token missing or incorrect
weixin_43597580的博客
09-12 375
django-docs-2.2-zh-hans.zip
05-09
Django 提供了一个丰富的框架来帮助创建表单和处理表单数据。 基础: 概览 | 表单 API | 内建字段 | 内建 widgets 进阶: 针对模型的表单 | 整合媒体 | 表单集 | 自定义验证 开发进程 学习众多的组件及工具,来帮助你...
Python库 | django-dockit-0.0.6.tar.gz
03-02
通过这种方式,Dockit为Django添加了对NoSQL数据存储的支持,使得开发者能够更灵活地处理不同类型的数据。 #### 主要特点: 1. **Schema支持**:Dockit允许定义schema,这些schema可以用于创建动态文档模型,类似...
django-1.8tar.gz
10-31
在安全性方面,Django 1.8 强化了CSRF(跨站请求伪造)保护,并提供了更多的安全中间件,如X-Frame-Options,以防止点击劫持攻击。此外,该版本还改进了密码哈希算法,提高了用户密码的安全性。 管理界面(admin)...
Python库 | tea-django-0.0.6.tar.gz
03-11
- 数据模型扩展:为Django的ORM添加新的字段类型或行为。 - 视图和模板辅助:提供额外的视图函数和模板标签,便于页面的复杂逻辑处理和渲染。 - 性能优化:如缓存策略、查询优化等,提升项目性能。 - 安全性增强:如...
Django中预防CSRF攻击的操作
12-20
CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF攻击者盗用了你的身份,以你的名义发送恶意请求。 ( 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…) 造成的问题:个人隐私泄露以及财产安全。 CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 防止 CSRF 攻击 步骤: 1. 在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值 2. 在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token 3. 在用户点击提交的时候,会带上这两个值向后台发
django:跨域访问及CSRF防护
dangfulin的博客
09-17 717
一,什么是跨域访问? 二,django设置跨域访问 三,djangoCSRF防护
Django CSRF
光明小学王小雨的博客
12-16 1800
一、CSRF攻击攻击原理及过程 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式 1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B...
Django之Cookie、Session、CSRFAdmin
weixin_30765319的博客
08-25 103
Cookie 1、获取Cookie: 1 2 3 4 5 6 request.COOKIES['key'] request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None) 参数: default: 默认值 ...
django 1.10版本解决中CSRF问题
u010119668的博客
03-31 1119
本部分是基于Django 1.10版本 >>> import django >>> django.get_version() '1.10.6' CSRF是(Cross-Site Request Forgery)跨站请求伪造,简单的用于防止恶意网站上的表单或者JavaScript利用用户登录过的认证信息,对网站进行某些操作,利用Django进行web开发过程中,如不对app下的views.p
Django进阶之CSRF
weixin_33795093的博客
01-13 259
 简介 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。 全局: 中间件 django.middleware.csrf.CsrfViewMiddleware 局部: @csrf_protect,为当前函数强制设置防跨站请求伪造功...
csrf_token跨站请求伪造和保护验证
weixin_40105587的博客
03-09 2309
伪造:其实请求伪造是客户端发的 恶意网站不需要客户端的访问记录保护:(使用POST请求方式 , 本质是在请求的参数上加上随机字符串进行混淆)1 .当客户端请求服务器 服务器端根据 secret_key 生成一个随机的token  服务器会把这个token 写到返回的cookie里 键为csrftoken 其值为自动生成的token     2 在所有的POST表单中 服务器会自动帮帮我们生成一个隐...
django csrf解决办法
无形的专栏
06-14 2692
django csrf解决办法 原文出处:http://www.cppblog.com/momoxiao/archive/2011/10/03/157443.aspx?opt=admin  1 在 templete 中, 为每个 POST form 增加一个 {% csrf_token %} tag. 如下:        {% csrf_token %}    2 在
django安装后没有django-admin文件
最新发布
05-23
Python 3 中,Django 的可执行文件是 `django-admin`,而不是 Python 2 中的 `django-admin.py`。如果你在安装 Django 后无法找到 `django-admin` 可执行文件,可以尝试通过以下方式来解决: 1. 确认 Django ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值