django之中间件及CSRF跨站请求伪造-68

最新推荐文章于 2024-09-16 08:47:17 发布
最新推荐文章于 2024-09-16 08:47:17 发布
阅读量98 收藏
点赞数
文章标签: javascript python ViewUI
原文链接:http://www.cnblogs.com/jokezl/articles/10187608.html
版权
django之中间件及CSRF跨站请求伪造-68

目录

  • 一.中间件
  • 二.中间件用途
  • 三.中间件方法
  • 四.自定义中间件
    • process_view
    • process_exception
    • process_template_response
  • 五.CSRF_TIKEN跨站请求伪造
  • 六.局部禁用和使用csrf

一.中间件

中间件就是介于request与response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出。因为改变的是全局,所以需要谨慎使用。

Django中间件的定义:

Middleware is a framework of hooks into Django’s request/response processing. 
It’s a light, low-level “plugin” system for globally altering Django’s input or output.

二.中间件用途

django的中间件,其实就是一个类,在请求到来和结束后,django会根据自己的规则在合适的时机执行中间件中相应的方法,所以如果需要修改请求,例如被传送到view中的HttpRequest对象,或者是修改view返回的HttpResponse对象,就可以通过中间件来实现。

Django默认的中间件:

在django项目的settings模块中,有一个MIDDLEWARE变量

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', ]

请求传递到Django的过程如下:

三.中间件方法

中间件的五个方法

process_request(self,request)
process_view(self, request, callback, callback_args, callback_kwargs)
process_template_response(self,request,response)
process_exception(self, request, exception)
process_response(self, request, response)

中间件方法的运行流程图:

四.自定义中间件

第一步:导入MiddlewareMixin

from django.utils.deprecation import MiddlewareMixin

第二步:自定义中间件

from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import HttpResponse class MyMiddelware1(MiddlewareMixin): def process_request(self, request): print('MyMiddelware1=====>request') def process_response(self, request, response): print('MyMiddelware1======>response') # 返回response return response class MyMiddelware2(MiddlewareMixin): def process_request(self, request): print('MyMiddelware2=====>request') def process_response(self, request, response): print('MyMiddelware2======>response') # 返回response return response

第三步:在view中定义一个视图函数

def index(request): print('视图函数') return HttpResponse('aaa')

第四步:在settings.py的MIDDLEWARE里注册自己定义的中间件

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', 'app01.mymiddelware.MyMiddelware1', 'app01.mymiddelware.MyMiddelware2', ]

结果:

MyMiddelware1=====>request
MyMiddelware2=====>request
视图函数
MyMiddelware2======>response
MyMiddelware1======>response

注意:如果当请求到达process_request的直接不符合条件返回,程序将把请求直接发给其对应的process_response返回.然后依次返回到请求者,结果如下:

MyMiddelware1=====>request
MyMiddelware2=====>request
MyMiddelware2======>response
MyMiddelware1======>response

总结:

1.中间件的preocess_request方法是在执行视图函数之前执行的
2.当配置多个中间件时,会按照MIDDLEWARE中的注册顺序,也就是列表的索引值,从前到后依次执行的
3.不同中间件之间传递的request都是同一个对象

process_view

process_view(self,request,callback, callback_args, callback_kwargs)

该方法由四个参数:

  • request是HttpResponse对象
  • callback是Django即将使用的视图函数
  • callback_args是将传递给视图的位置参数的列表
  • callback_kwargs是将传递给视图的位置参数的字典

Django会在调用视图函数之前调用process_view方法

它应该返回None或一个HttpResponse对象。 如果返回None,Django将继续处理这个请求,执行任何其他中间件的process_view方法,然后在执行相应的视图。 如果它返回一个HttpResponse对象,Django不会调用适当的视图函数。 它将执行中间件的process_response方法并将应用到该HttpResponse并返回结果。

process_exception

process_exception(self,request,exception)

该方法有两个参数:

  • request是HttpResponse对象
  • exception是视图函数异常产生的Exception对象

这个方法只有在视图函数中出现异常了才执行,它返回的值可以是一个None也可以是一个HttpResponse对象。如果是HttpResponse对象,Django将调用模板和中间件中的process_response方法,并返回给浏览器,否则将默认处理异常。如果返回一个None,则交给下一个中间件的process_exception方法来处理异常。它的执行顺序也是按照中间件注册顺序的倒序执行。

process_template_response

process_template_response(self,request,response)

该方法对视图函数返回值有要求,必须是一个含有render方法类的对象,才会执行此方法

五.CSRF跨站请求伪造

CSRF介绍:
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性

可以这样来理解:
       攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户
CSRF攻击防范:
1.验证HTTP Referer字段
2.在请求地址中添加token并验证(Django处理方式) 3.在HTTP头中自定义属性并验证
在form表单中应用:
<form action="" method="post"> {% csrf_token %} <p>用户名:<input type="text" name="name"></p> <p>密码:<input type="text" name="pwd"></p> <input type="submit" value="提交"> </form>
在AJAX中应用
<script>
    $(".btn").click(function () { $.ajax({ url: '', type: 'post', data: { 'name': $('[name="name"]').val(), 'password': $("#pwd").val(), 'csrfmiddlewaretoken':$('[name="csrfmiddlewaretoken"]').val() 'csrfmiddlewaretoken':'{{ csrf_token }}' }, success: function (data) { console.log(data) } }) }) </script>
在HTTP头中自定义属性并验证,放在cookie中:

获取cookie:document.cookie

是一个字符串,可以自己用js切割,也可以用jquery插件

获取cookie:$cookie('csrftoken')

设置cookie:$cookie('key','value')

<script>
    $(".btn").click(function () { var token=$.cookie('csrftoken') //var token='{{ csrf_token }}' $.ajax({ url: '', headers:{'X-CSRFToken':token}, type: 'post', data: { 'name': $('[name="name"]').val(), 'password': $("#pwd").val(), }, success: function (data) { console.log(data) } }) }) </script>

六.局部禁用和使用csrf

全局禁用:注释掉中间件 'django.middleware.csrf.CsrfViewMiddleware',

局部禁用:使用装饰器,导入from django.views.decorators.csrf import csrf_exempt,csrf_protect

在FBV中使用:

from django.views.decorators.csrf import csrf_exempt,csrf_protect
# 不再检测,局部禁用(前提是全站使用)
# @csrf_exempt # 检测,局部使用(前提是全站禁用) # @csrf_protect def csrf_token(request): if request.method=='POST': print(request.POST) return HttpResponse('ok') return render(request,'csrf_token.html')

在CBV中使用:

# CBV中使用
from django.views import View
from django.views.decorators.csrf import csrf_exempt,csrf_protect from django.utils.decorators import method_decorator # CBV的csrf装饰器,只能加载类上(指定方法为dispatch)和dispatch方法上(django的bug) # 给get方法使用csrf_token检测 @method_decorator(csrf_exempt,name='dispatch') class Foo(View): def get(self,request): pass def post(self,request): pass

 

 
 
posted on 2018-12-27 21:44 漫天飞雪世情难却 阅读( ...) 评论( ...)   编辑 收藏

转载于:https://www.cnblogs.com/jokezl/articles/10187608.html

weixin_33827965
关注
Django中间件介绍、自定义中间件csrf跨站请求伪造
大大的博客
06-02 319
文章目录一、 Django中间件介绍二、 自定义中间件process_request(重点)process_response方法(重点)process_view方法(了解)process_exception方法(了解)process_template_response方法(了解)三、 中间件的执行流程四、 中间件版登录验证五、 CSRF_TOKEN跨站请求伪造csrf使用csrf相关装饰器总结 一、 Django中间件介绍 什么是中间件? Middleware is a framework of hook
Django 中间件
weixin_30328063的博客
11-23 92
目录 一.中间件 二.中间件用途 三.中间件方法 四.自定义中间件 process_view process_exception process_template_response 五.CSRF_TIKEN跨站请求伪...
django setting配置(笔记)
scorhl的博客
10-12 198
1、注册app: INSTALLED_APPS = [ 'django.contrib.admin', 'django.contrib.auth', 'django.contrib.contenttypes', 'django.contrib.sessions', 'django.contrib.messages', 'django.contrib.staticfiles', # //创建的app都需要在此注册才能够被django识别 ] 2、中...
Django中间件csrf跨站请求伪造
weixin_46407419的博客
03-10 317
csrf跨站请求伪造 CSRF(Cross Site Request Forgery) 跨站请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。如果从名字你还不不知道它表示什么,你可以这样理解:攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私...
Django中间件csrf跨站请求伪造、auth模块
weixin_30502157的博客
06-18 196
一、中间件 中间件是一个用来处理Django请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。每个中间件组件都负责做一些特定的功能。 其实每个Djiango项目中都有中间件,其位置就在:settings.py文件里的MIDDLEWARE配置项,如下图所示: MIDDLEWARE = [ '...
Django框架之中间件CSRF跨站请求伪造
weixin_30916125的博客
06-18 112
一、中间件 1.什么是中间件   中间件是一个用来处理Django请求和响应的框架级别的钩子。它是一个轻量、低级别的插件系统,用于在全局范围内改变Django的输入和输出。每个中间件组件都负责做一些特定的功能。   中间件是帮助我们在视图函数执行之前和执行之后都可以做一些额外的操作,它本质上就是一个自定义类,类中定义了几个方法,Django框架会在请求的特定的时间去执行这些方法。 2...
Django网络安全】如何正确防护CSRF跨站请求伪造
黎明总是如期而至
04-09 1087
CSRF(Cross-site request forgery),中文名跨站请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器中的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
中间件CSRF跨站请求伪造
Shawn派大星
04-21 317
引入 1.什么是中间件 中间件是一个很大的概念, 它介于两个事务之间 服务器中间件:服务器的调优,例:Java的Tomcat 消息队列中间件:消息队列,在应用程序与应用程序之间, 数据库中间件:应用程序与数据库之间 一.Django中间件 (middleware) 1.什么Django中间件 请求来的时候需要先经过中间件才能到真正的Django后端 响应走的时候也需要经过中间件才能发送出去 通俗的讲 : 中间件相当于是Django的门户, 你进来时要经过它, 出去的时候也要经过它 介于request与
Django 中防范 CSRF 跨站请求伪造攻击步骤详解
Nick.Peng's Blogs
09-13 671
CSRF 概念: CSRF跨站请求伪造(Cross—Site Request Forgery)。 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 CSRF 攻击原理以及过程: 1、用户C打开浏览器,访问受信任网站A,输入...
Django中如何防范CSRF跨站请求伪造攻击的实现
09-19
CSRF(Cross-Site Request Forgery,跨站请求伪造),是一种常见的安全攻击手段。在这种攻击中,攻击者利用受害者的身份(通常是通过受害者已登录状态下的Cookies)发起恶意请求。这些请求对于服务器而言是合法的,...
Django CSRF跨站请求伪造防护过程解析
09-18
CSRF跨站请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网站发起对受害者的合法网站的请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者诱使用户在当前已登录的Web应用程序上执行非本意的操作。这种攻击通常通过伪装成用户的合法请求来实现,比如通过恶意链接、电子邮件或...
js中【Worker】相关知识点详细解读
2301_79858914的博客
09-11 890
JavaScript 中的 Worker 是一个可以在后台线程中运行代码的 API,这样可以避免主线程(通常是 UI 线程)被阻塞。使用 Worker 时,JavaScript 可以在多线程环境中工作,解决了单线程的瓶颈问题。通常情况下,JavaScript 是单线程的,也就是所有的代码(包括 DOM 操作和事件处理等)都在同一个线程里执行。如果某段代码需要大量计算,或者运行时间过长,会阻塞整个页面,导致界面卡顿甚至崩溃。Worker提供了一种将复杂或耗时的任务分配到后台线程执行的方法。
使用 uni-app 开发微信小程序的详细指南
最新发布
2301_79685859的博客
09-16 659
uni-app是一个使用 Vue.js 框架开发跨平台应用的前端框架。开发者通过编写一套代码,可以生成多端应用,包括 H5、iOS、Android、微信小程序、支付宝小程序、字节跳动小程序等。
Vue接入高德地图并实现基本的路线规划功能
黄团团的个人博客
09-11 543
找到public目录下的index.html文件,把刚才申请好的2个密钥分别粘贴进去,第一个securityJsCode是填入安全密钥,第二个红框是填入Key。登录高德开放平台,点击我的应用,先添加新应用,然后再添加Key。如图所示填写对应的信息,系统就会自动生成。
vue3中动态引入本地图片的两种方法
haodanzj的博客
09-11 300
动态在本地引入图片
JS的输出语句
J3259392566的博客
09-13 280
js中严格区分大小写。
八十多种证件识别接口-JavaScript身份证识别API示例-护照识别-户口页识别
weixin_41711744的博客
09-12 635
证件识别API包含了身份证识别、护照识别、户口页识别、港澳台来往通行证识别等八十多种证件识别类型,提供了快速、精准的证件信息提取功能,广泛应用于实名认证 、机场出入口等场景。身份证识别API常用于在线支付、金融服务、酒店入住等需要进行实名认证和提取身份信息的场景。在这些场景中,通过快速识别和验证身份证信息,可以有效提高处理速度,减少人为错误,增强安全性。八十多种证件识别接口提供了一种高效、精准的识别方式来读取各类证件信息,通过合理应用这些技术,可以大幅提升用户体验和企业运营效率。
Django 1.11 中间件详解:自定义请求处理与顺序设计
4. `django.middleware.csrf.CsrfViewMiddleware`:在表单提交时验证跨站请求伪造CSRF)令牌。 5. `django.contrib.auth.middleware.AuthenticationMiddleware`:处理用户身份验证。 6. `django.contrib.messages....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值