Django中间件

Django中间件

django 中间件是django的门户
1.请求来的时候需要先经过中间件才能到达真正的django后端
2.响应走的时候最后也需要经过中间件才能发送出去

1. 什么是中间件

中间件顾名思义，是介于request与response处理之间的一道处理过程，相对比较轻量级，并且在全局上改变django的输入与输出。因为改变的是全局，所以需要谨慎实用，用不好会影响到性能

django中间价官网定义：

Middleware is a framework of hooks into Django’s request/response processing. 
It’s a light, low-level “plugin” system for globally altering Django’s input or output.

中间件位于web服务端与url路由层之间

2. 中间件有什么用

如果你想修改请求，例如被传送到view中的HttpRequest对象。 或者你想修改view返回的HttpResponse对象，这些都可以通过中间件来实现。

可能你还想在view执行之前做一些操作，这种情况就可以用 middleware来实现。

Django默认的中间件：（在django项目的settings模块中，有一个 MIDDLEWARE_CLASSES 变量，其中每一个元素就是一个中间件，如下）

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

请求进来是自上而下，通过反射找到类，用for循环来执行，可以自定义中间件，但是也要写在MIDDLEWARE中，可以在app01下创建一个mymid.py文件来写我们自定义的中间件

每一个中间件都有具体的功能

3. 如何自定义中间件

"""
1.在项目名或者应用名下创建一个任意名称的文件夹
2.在该文件夹内传建一个任意名称的py文件
3.在该py文件内需要书写类（这个类必须继承MiddlewareMixin）
	然后在这个类里面就可以自定义五个方法了
	（这五个方法并不是全部都需要书写 用几个写几个）
4.需要将类的路径以字符串的形式注册到配置文件中才能生效，
INSTALLED_APPS = [
    'django.contrib.admin',
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.messages',
    'django.contrib.staticfiles',
    'app01.apps.App01Config',
    '你自己写的中间件路径'
]


"""

4. 中间件中五个可以自定义的方法

"""
django支持程序员自定义中间件并且暴露给程序员五个可以自定义的方法
	1. 必须掌握
	process_request
		1.请求来的时候需要经过每一个中间件里面的process_request方法，结果的顺序是按照配置文件中注册的中间件从上往下的顺序依次执行
		2.如果中间件里面没有定义该方法，那么直接跳过执行下一个中间件
		3.如果该方法返回了HttpResponse对象，那么请求将不再继续往后执行，而是直接原路返回
		process_request方法就是用来做全局相关的所有限制功能
	process_response
		1.相应走的时候需要经过中间件里面的process_response方法，该方法有两个额外的参数request，response
		2.该方法必须返回一个HttpResponse对象
			1.默认返回的就是形参response
			2.也可以自己返回自己的
		3.顺序是按照配置文件中注册了的中间件从下往上依次经过
		如果你没有定义的话 直接跳过执行下一个
	研究如果在第一个process_request方法就已经返回了HttpResponse对象，那么响应走的时候是经过所有的中间件里面的process_response还是其他情况
	是其他情况
		就是会直接走同级别的process_response返回
	flask框架也有一个中间件但是它的规律
	只要返回数据了就必须经过所有中间件里面的类似鱼process_response 
	
	2.了解即可
	process_view
		路由匹配成功之后执行视图函数之前，会自动执行中间件里面的该方法
		顺序是按照配置文件中注册的中间件从上往下的顺序依次执行
	
	process_template_response
		返回的HttpResponse对象有render属性的时候才会触发
		顺序是按照配置文件中注册了的中间价从上往下一次经过

	process_exception
		当视图函数中出现异常的情况下触发
		顺序是按照配置文件中注册了的中间件从下往上一次经过

"""

5. 中间件应用场景

1）做IP访问频率限制

某些IP访问服务器的频率过高，进行拦截，比如限制每分钟不超过20次

2）URL访问过滤

如果用户访问的是login视图（放过）

如果访问其他视图，需要检测是不是有session认证，已经有了放行，没有返回login，这样就省得在多个视图函数上写装饰器了！

6. csrf跨站请求伪造

6.1. 什么是csrf

CSRFCross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS )，但它与XSS不同，XSS利用站点内信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站，与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性

可以这样来理解：
攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。 如下：其中Web A为存在CSRF漏洞的网站，Web B为攻击者构建的恶意网站，User C为Web A网站的合法用户

6.2. csrf攻击原理

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MIl8U09L-1630398023441)(Untitled.assets/1364097-20180917213129524-982812929.png)]

从上图可以看出，要完成一次CSRF攻击，受害者必须依次完成两个步骤：

1. 登录授信任网站A，并在本地生成Cookie
2. 在不登出A的情况下，访问危险网站B

看到这里，你也许会说：“如果我不满足以上两个条件中的一个，我就不会受到CSRF的攻击”。是的，确实如此，但你不能保证以下情况不会发生：
　　1.你不能保证你登录了一个网站后，不再打开一个tab页面并访问另外的网站。
　　2.你不能保证你关闭浏览器了后，你本地的Cookie立刻过期，你上次的会话已经结束。（事实上，关闭浏览器不能结束一个会话，但大多数人都会错误的认为关闭浏览器就等于退出登录/结束会话了…）
　　3.上图中所谓的攻击网站，可能是一个存在其他漏洞的可信任的经常被人访问的网站。

6.3 钓鱼网站

"""
钓鱼网站
内部本质
	我们在钓鱼网站的页面 针对对方账户，只给用户提供一个没有name属性的普通input框，然后我们在内部隐藏了一个已经写好的name和value的input框

如何规避上述问题
	csrf跨站请求伪造校验
	网站在给用户返回一个具有提交数据功能页面的时候会给这个页面加一个唯一标识
	当这个页面朝后端发送post请求的时候，我的后端会先校验唯一标识，如果唯一标识不对，直接拒绝（403 forbidden）如果成功则正常执行
"""

6.4 csrf攻击防范

目前防御 CSRF 攻击主要以下策略：在请求地址中添加 token 并验证；在 HTTP 头中自定义属性并验证
​ （1）在请求地址中添加 token 并验证
​ CSRF 攻击之所以能够成功，是因为黑客可以完全伪造用户的请求，该请求中所有的用户验证信息都是存在于 cookie 中，因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。要抵御 CSRF，关键在于在请求中放入黑客所不能伪造的信息，并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token，并在服务器端建立一个拦截器来验证这个 token，如果请求中没有 token 或者 token 内容不正确，则认为可能是 CSRF 攻击而拒绝该请求。

​ 这种方法要比检查 Referer 要安全一些，token 可以在用户登陆后产生并放于 session 之中，然后在每次请求时把 token 从 session 中拿出，与请求中的 token 进行比对，但这种方法的难点在于如何把 token 以参数的形式加入请求。对于 GET 请求，token 将附在请求地址之后，这样 URL 就变成 http://url?csrftoken=tokenvalue。 而对于 POST 请求来说，要在 form 的最后加上 ，这样就把 token 以参数的形式加入请求了。但是，在一个网站中，可以接受请求的地方非常多，要对于每一个请求都加上 token 是很麻烦的，并且很容易漏掉，通常使用的方法就是在每次页面加载时，使用 javascript 遍历整个 dom 树，对于 dom 中所有的 a 和 form 标签后加入 token。这样可以解决大部分的请求，但是对于在页面加载之后动态生成的 html 代码，这种方法就没有作用，还需要程序员在编码时手动添加 token。

​ 该方法还有一个缺点是难以保证 token 本身的安全。特别是在一些论坛之类支持用户自己发表内容的网站，黑客可以在上面发布自己个人网站的地址。由于系统也会在这个地址后面加上 token，黑客可以在自己的网站上得到这个 token，并马上就可以发动 CSRF 攻击。为了避免这一点，系统可以在添加 token 的时候增加一个判断，如果这个链接是链到自己本站的，就在后面添加 token，如果是通向外网则不加。不过，即使这个 csrftoken 不以参数的形式附加在请求之中，黑客的网站也同样可以通过 Referer 来得到这个 token 值以发动 CSRF 攻击。这也是一些用户喜欢手动关闭浏览器 Referer 功能的原因。

（2）在 HTTP 头中自定义属性并验证
这种方法也是使用 token 并进行验证，和上一种方法不同的是，这里并不是把 token 以参数的形式置于 HTTP 请求之中，而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类，可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性，并把 token 值放入其中。这样解决了上种方法在请求中加入 token 的不便，同时，通过 XMLHttpRequest 请求的地址不会被记录到浏览器的地址栏，也不用担心 token 会透过 Referer 泄露到其他网站中去。

6.5 csrf校验

# form表单如何符合校验
<form action="" method="post">
    {% csrf_token %}
    <p>username:<input type="text" name="username"></p>
    <p>target_user:<input type="text" name="target_user"></p>
    <p>money:<input type="text" name="money"></p>
    <input type="submit">
</form>

# ajax符合校验
{% load static %}
<script src="{% static 'js/mysetup.js' %}"></script>
<h1>我是好网站</h1>
<form action="" method="post">
    {% csrf_token %}
    <p>username:<input type="text" name="username"></p>
    <p>target_user:<input type="text" name="target_user"></p>
    <p>money:<input type="text" name="money"></p>
    <input type="submit">
</form>
<button id="d1">ajax请求</button>

<script>
    $('#d1').click(function () {
        $.ajax({
            url:'',
            type:'post',
            // 第一种 利用标签查找获取页面上的随机字符串
            {#data:{'username':'jason', 'csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()},#}
            // 第二种 利用模版语法的快捷书写
            {#data:{'username':'jason', 'csrfmiddlewaretoken':"{{ csrf_token }}"},#}
            // 第三种 通用方式
            data:{'username':'jason'},

            success:function () {


            }
        })
    })
</script>

csrf相关装饰器

"""
1. 网站整体都不校验csrf，就单单几个视图函数需要校验
2. 网站整体都校验csrf，就单单几个视图函数不校验
"""

from django.views.decorators.csrf import csrf_exempt, csrf_protect
from django.utils.decorators import method_decorator


# csrf_exempt 忽略校验
    # 针对csrf_exempt只能给dispatch方法加才有效
# csrf_protect 需要校验
    # 针对csrf_protect符合我们之前所学的装饰器的三种玩法


# @csrf_exempt
# @csrf_protect
def transfer(request):
    if request.method == 'POST':
        username = request.POST.get("username")
        target_user = request.POST.get('target_user')
        money = request.POST.get('money')
        print('%s给用户%s转了%s元' % (username, target_user, money))

    return render(request, 'transfer.html')


from django.views import View


# @method_decorator(csrf_protect, name='post')
class Mycsrf(View):
    def get(self, request):
        return HttpResponse('get')
    @method_decorator(csrf_protect)
    def dispatch(self, request, *args, **kwargs):
        super(Mycsrf, self).dispatch(request, args, kwargs)

    # @method_decorator(csrf_protect)  # 针对csrf_protect 第一种方式可以
    def post(self, request):
        return HttpResponse('post')

补充知识点

# 模块：inportlib
from myfile import b
import importlib
res = 'myfile.b'
print(b)
ret = importlib.import_module(res)
# 该方法最小只能到py文件名
print(ret)

重要思想

__ init __.py

import settings
import importlib


def send_all(content):
    for path_str in settings.NOTIFY_LIST:  # 'notify.email.Email'
        moudle_path, classname = path_str.rsplit('.', 1)
        # moudle_path = notify.email  classname = Email
        # 1. 利用字符串导入模块
        module = importlib.import_module(moudle_path)
        # 2. 利用反射获得类名
        cls = getattr(module, classname)
        # 3. 生成类的对象
        obj = cls()
        # 利用鸭子类型直接调用send方法
        obj.send(content)