Django Template 7.模板继承,CSRF跨域攻击

最新推荐文章于 2023-10-18 18:14:02 发布
最新推荐文章于 2023-10-18 18:14:02 发布
阅读量140 收藏 2
点赞数 1
分类专栏: # django 文章标签: python django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42665546/article/details/105422832
版权

文章目录

本节课模板继承,比较实用,在thinkphp里也学过

模板继承

继承基础页面

网页先写基础模板,左侧和上侧都是固定的,其他页面只要继承即可
即在Templates文件夹里新建base.html
先留着坑

<div>
    头部
</div>
<div>
    主体内容
</div>
<div>
    底部
</div>

 path('index9/', views.Index9View.as_view()),
 class Index9View(View):
    def get(self, request):
        return render(request,'index8.html')

网页里直接继承即可

 {% extends 'base.html' %}

在这里插入图片描述

引入一段代码

再建一个header.html页面,不要用基本框架,只包含这些标题

<a href="#">新闻</a>&emsp;<a href="#">贴吧</a>&emsp;<a href="#">图片</a>&emsp;

在base里引入该页面,替换掉头部二字

{% include 'header.html' %}

在这里插入图片描述

挖洞和填坑:主体内容

{% block main %}
这是主体内容,由你们决定
{% endblock main %}

在子页面里写一个块,主要写这里的东西

CSRF跨域攻击

CSRF的意思是跨站请求伪造
Cross Site Request Forgery

黑客在网页对数据库的增删改是post请求,因此django采取CSRF默认禁止post
在setting里默认开启
‘django.middleware.csrf.CsrfViewMiddleware’,
在这里插入图片描述

csrf_token实现post安全请求

不推荐禁用掉django中的CSRF
在网页里form表单中添加csrf_token,可解决
{% csrf_token %}

原理是在提交表单里增加了隐藏的值csrf_token,每次都是随机的,提交时会比对用户提交的信息,是不是跟自己保存在cookie里的一致,来判断合法性

而黑客攻击的时候,并无法获取该值,校验失败

局部CSRF策略

全局关闭,局部开启

先把全局中间件关了
在要启用的类或方法前加装饰器@csrf_protect
老师尝试class失败,因为不是一个渲染对象
两次访问的不是一个view方法
改成def类就行

全局开启,局部关闭

在要关闭的类或方法前加装饰器@csrf_exempt
这个成功了,明天继续画图分析具体实现方式

happy-cop
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django模板CSRF(十六)
qq_492448446的博客
09-18 186
CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。CSRF攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 CSRF示意图如下: 如果想防止CSRF,首先是重要的信息传递都采用POST方式而不是GET方式,接下来就说POST请求的攻击方式以及在Django中的避免。 示例 攻击过程的操作了解即可,.
7-1 django templates模板继承1
huanglianggu的专栏
06-12 391
第一步:建一个空的base.html第二步:把org-list.html拷贝进来,然后把页面内容全部拷贝到base.html第三步:修改页面所有的静态路径第四步:建block第五步:清空 org-list.html 继承base.html 修改title第六步:第七步:建org_list.html的路径好了,启动项目,访问http://127.0.0.1:8000/org_list/ 效果图:==...
djangotemplate中post请求接口csrf问题
最新发布
计算机辅助工程
10-18 921
【代码】djangotemplate中post请求接口csrf问题。
Django解决跨域问题
start的博客
08-07 497
@@Django解决跨域问题 在Django中遇到了跨域问题该如何处理 第一步安装django-cors-headers, 官方文档 pip install django-cors-headers 第二步配置settings.py文件,在INSTALLED_APPS添加配置 INSTALLED_APPS = [ ... 'corsheaders', ....
Django学习笔记6-Django自带模板以及Jinja2模板CSRF
weixin_41446786的博客
07-25 507
Django模板文档 一、Django自带模板 1、配置 (1)在工程中创建模板目录templates。 在settings.py配置文件中修改TEMPLATES配置项的DIRS值: 'DIRS': [os.path.join(BASE_DIR, 'templates')], # 此处修改 (2)定义模板templates目录中新建一个模板文件,如index.html (3)模板渲染 调用模板分为两步: Django提供了一个函数render可以将代码简洁化 render(req
Django 跨站请求伪造(csrf)防御——解决 POST 请求 403 问题
平头
08-08 794
文章目录背景Django 的跨站请求伪造(csrf)防御取消 csrf 防御对某个特定请求开启 csrf 防御设置 csrf token客户端该如何处理 csrf token针对 csrf 的一些配置项 背景 正在使用 Django 框架做项目,需要在页面上进行 POST 请求,请求由 axios 进行处理。 处理过程中总是出现 403 Forbidden,于是仔细研究了一下。 Django 的跨站请求伪造(csrf)防御 如果你啥也不想管,就想让自己的 403 消失,那么可以直接看下一节。 首先什么是 c
DjangoCSRF防御全过程解析以及中间件作用机制
Deft_MKJing的博客
05-21 2415
前言 XSS和CSRF攻击的基础原理这里就不介绍了,之前写了一篇文章单独介绍的很详细了,传送门,这里我们直接以Django为分析对象,分析中间件csrf生成原理以及防范Token如何运作的。 CSRF中间件 官方文档介绍的也是表面,本文通过源码层面直接分析流程 官方文档针对CSRF的介绍以及参数配置 传送门 Settings文件 Setting.py中有茫茫多的配置选项。传送门 Django全流程...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
主要介绍了详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Django Template 4.模板语法标签DTL
01-20
模板语法DTL变量标签{{}}块标签{%%}遍历列表:正逆循环、正逆编号遍历字典:多个参数empty无记录csrf_tokenautoescape自动转义开启关闭注释 DTL django template language 模板语法,也就是之前在html写的django语言...
Python Django框架防御CSRF攻击的方法分析
09-18
- **自定义CSRF令牌验证**:可以通过继承`django.middleware.csrf.CsrfViewMiddleware`并覆盖其方法来自定义验证逻辑。 - **处理Ajax请求**:对于异步的Ajax请求,也需要确保在请求头中携带正确的CSRF令牌,通常通过...
Django跨域请求CSRF的方法示例
01-20
web跨域请求 1.为什么要有跨域限制 举个例子: 1.用户登录了自己的银行页面 http://mybank.com,http://mybank.com向用户的cookie中添加用户标识。 2.用户浏览了恶意页面 http://evil.com。执行了页面中的恶意AJAX...
Django Model 9.自带超实用聚合、分组、嵌套、关联函数,不再写复杂SQL
happycop的博客
03-23 1075
文章目录聚合函数aggregate分组聚合函数annotate子查询关联查询表结构目的备注1备注2 前面几节课,是单表查询及一些应用,但有时候会用到更复杂的嵌套查询,我前几年用原生的sql语句写的特别累,太复杂了,还是学学django自带的聚合函数查询吧。 聚合函数aggregate 共有五类,有点像Excel表常用的那种 Max最大 Min最小 Count计数 Sum合计 Avg平均值 fr...
Django Template 2.引入静态文件(django自带static)
happycop的博客
04-05 719
读取静态图片,用static 上节课我们讲的是原生的,路径拼接比较麻烦,django自带static功能,只需要两步: 修改static文件目录 在settings.py里有这么一行代码 STATIC_URL = '/static/' 在隐藏的global_settings.py里有这样的路径,是个list,将它复制到setting里 # A list of locations of addit...
Django Model 4.班级、学生、课程,级联查询页面
happycop的博客
03-21 663
文章目录第一个页面1.url2.views3.html第二个页面urls和viewshtml 本节课要做这样的页面: 主页展示每个班级信息,点击超链接可至第二个页面,展示该班级里具体学生的数据 第一个页面 1.url 定义该页面的后缀 /student/showall/ path('showall/', views.showall_view) 关联新views,shit+alt+enter 2....
Django Model 6.探索objects背后的秘密,制作自己的逻辑删除delete
happycop的博客
03-21 661
注意:本节课有点难,需要有上节课的基础 单个对象的逻辑删除 删除的delete,调用的是来自父类object里的delete Student3.objects.first().delete() 通过ctrl键可以定位到该方法,在base.py里 默认是物理删除,会把该条数据都删了 而我们想实现的是逻辑删除,因为还要查看删除记录; 方法是修改某条数据的isdelete字段为True 针对单个对象...
Django Views 1.urls配置和传参(正向)
happycop的博客
03-28 504
urlspath无传参re_path位置传参 views决定顺序改变位置看效果re_path关键字传参 re_path决定顺序re_path附加传参-自身带参数其他 从本节课开始,models已经完结,开始学习views模块 path无传参 复习下以前讲过的path和views,跳转是不带参数的; 通过alt加回车,可以跳转并新建相应views方法 # coding=utf-8 from djan...
Django Model 2.数据库—多表查询
happycop的博客
03-16 455
文章目录1.一对一2.一对多3.多对多 上一张只学了单表,对于论坛等网站,会有很多表之间关联,用sql语言需要嵌套,相当繁琐,下面我们看下如何用django自带的代码来处理这些表格。 一对一:学生和学生证 一个学生只有一个证,一个证只属于一个学生 student = `models.OneToOneField(Student,primary_key=True,on_delete=models....
Django Model 3 班级、学生、课程,级联注册页面
happycop的博客
03-18 433
自定义标题创建url和视图编写html文件编写model数据表 在前面部分,已经新建了stu的app,并初步学会了数据库相关操作。 本节课学习创建学生事务的注册页面。 创建url和视图 首先在项目的url.py里增加指向,这里的path是接着/stu/后面的链接,因为前面已经在项目的url里注册过。 http://127.0.0.1:8000/stu/register/ from django.u...
from django.views.decorators.csrf import csrf_exempt
05-17
`csrf_exempt` 是一个 Django 装饰器,用于标记一个视图函数,表示在处理该视图函数的 POST 请求时,不需要进行 CSRF 校验。 CSRF(Cross-site request forgery)跨站请求伪造,是一种常见的网络攻击方式。攻击者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值