Django预防csrf 分页 文件的上传和下载

最新推荐文章于 2023-05-03 14:27:43 发布
最新推荐文章于 2023-05-03 14:27:43 发布
阅读量1.4w 收藏 1
点赞数
分类专栏: Django 文章标签: django csrf python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45185267/article/details/125247145
版权

跨站请求伪造攻击 CSRF

文章目录

  • 跨站请求伪造攻击

    • 某些恶意网站上包含链接、表单按钮或者JavaScript,它们会利用登录过的用户在浏览器中的认证信息试图在你的网站上完成某些操作,这就是跨站请求伪造(CSRF,即Cross-Site Request Forgey)。

  • 说明:

  • CSRF中间件和模板标签提供对跨站请求伪造简单易用的防护。

  • 作用:

    • 不让其它表单提交到此 Django 服务器

  • 防范步骤:

    1. settings.py中确认 MIDDLEWARE 中 django.middleware.csrf.CsrfViewMiddleware是否打开
    2. 模板中,form标签下添加如下标签
     {% csrf_token %}

  • 如果某个视图不需要django进行csrf保护,可以用装饰器关闭对此视图的检查

    from django.views.decorators.csrf import csrf_exempt

@csrf_exempt
def my_view(request):
    return HttpResponse('Hello world')

分页

  • 分页是指在web页面有大量数据需要显示,为了阅读方便在每个页页中只显示部分数据。
  • 好处:
    1. 方便阅读
    2. 减少数据提取量,减轻服务器压力。
  • Django提供了Paginator类可以方便的实现分页功能
  • Paginator类位于django.core.paginator 模块中。

Paginator对象

  • 负责分页数据整体的管理

  • 对象的构造方法

    • paginator = Paginator(object_list, per_page)
    • 参数
      • object_list 需要分类数据的对象列表
      • per_page 每页数据个数
    • 返回值:
      • Paginator的对象

  • Paginator属性

    • count:需要分类数据的对象总数
    • num_pages:分页后的页面总数
    • page_range:从1开始的range对象, 用于记录当前面码数
    • per_page 每页数据的个数

  • Paginator方法

    • page(number)
      • 参数 number为页码信息(从1开始)
      • 返回当前number页对应的页信息
      • 如果提供的页码不存在,抛出InvalidPage异常

  • Paginator异常exception

    • InvalidPage:总的异常基类,包含以下两个异常子类
      • PageNotAnInteger:当向page()传入一个不是整数的值时抛出
      • EmptyPage:当向page()提供一个有效值,但是那个页面上没有任何对象时抛出

Page对象

  • 负责具体某一页的数据的管理

  • 创建对象
    Paginator对象的page()方法返回Page对象

    page = paginator.page(页码)

  • Page对象属性

    • object_list:当前页上所有数据对象的列表
    • number:当前页的序号,从1开始
    • paginator:当前page对象相关的Paginator对象

  • Page对象方法

    • has_next():如果有下一页返回True
    • has_previous():如果有上一页返回True
    • has_other_pages():如果有上一页或下一页返回True
    • next_page_number():返回下一页的页码,如果下一页不存在,抛出InvalidPage异常
    • previous_page_number():返回上一页的页码,如果上一页不存在,抛出InvalidPage异常
    • len():返回当前页面对象的个数

  • 说明:

  • Page 对象是可迭代对象,可以用 for 语句来 访问当前页面中的每个对象

  • 参考文档 https://docs.djangoproject.com/en/2.2/topics/pagination/

  • 分页示例:

    • 视图函数
    from django.core.paginator import Paginator
def book(request):  
    bks = Book.objects.all()
    paginator = Paginator(bks, 10)
    cur_page = request.GET.get('page', 1)  # 得到默认的当前页
    page = paginator.page(cur_page)
    return render(request, 'bookstore/book.html', locals())

  • 模板设计

    <html>
<head>
    <title>分页显示</title>
</head>
<body>
{% for b in page %}
    <div>{{ b.title }}</div>
{% endfor %}

{% if page.has_previous %}
<a href="{% url 'book' %}?page={{ page.previous_page_number }}">上一页</a>
{% else %}
上一页
{% endif %}

{% for p in paginator.page_range %}
    {% if p == page.number %}
        {{ p }}
    {% else %}
        <a href="{% url 'book' %}?page={{ p }}">{{ p }}</a>
    {% endif %}
{% endfor %}

{% if page.has_next %}
<a href="{% url 'book' %}?page={{ page.next_page_number }}">下一页</a>
{% else %}
下一页
{% endif %}
</body>
</html>

文件下载

Django可直接在视图函数中生成csv文件 并响应给浏览器

import csv
from django.http import HttpResponse
from .models import Book

def make_csv_view(request):
    response = HttpResponse(content_type='text/csv')
    response['Content-Disposition'] = 'attachment; filename="mybook.csv"'
	all_book = Book.objects.all()
    writer = csv.writer(response)
    writer.writerow(['id', 'title'])
    for b in all_book:    
    	writer.writerow([b.id, b.title])

    return response
  • 响应获得一个特殊的MIME类型text / csv。这告诉浏览器该文档是CSV文件,而不是HTML文件
  • 响应会获得一个额外的Content-Disposition标头,其中包含CSV文件的名称。它将被浏览器用于“另存为…”对话框
  • 对于CSV文件中的每一行,调用writer.writerow,传递一个可迭代对象,如列表或元组

文件上传

  • 文件上传必须为POST提交方式

  • 表单<form>中文件上传时必须有带有enctype="multipart/form-data" 时才会包含文件内容数据。

  • 表单中用<input type="file" name="xxx">标签上传文件

    • 名字xxx对应request.FILES['xxx'] 对应的内存缓冲文件流对象。可通能过request.FILES['xxx'] 返回的对象获取上传文件数据
    • file=request.FILES['xxx'] file 绑定文件流对象,可以通过文件流对象的如下信息获取文件数据
      file.name 文件名
      file.file 文件的字节流数据

  • 上传文件的表单书写方式

    <!-- file: index/templates/index/upload.html -->
<html>
<head>
    <meta charset="utf-8">
    <title>文件上传</title>
</head>
<body>
    <h3>上传文件</h3>
    <form method="post" action="/test_upload" enctype="multipart/form-data">
        <input type="file" name="myfile"/><br>
        <input type="submit" value="上传">
    </form>
</body>
</html>

  • 在setting.py 中设置MEDIA相关配置;Django把用户上传的文件,统称为media资源

    # file : settings.py
MEDIA_URL = '/media/'
MEDIA_ROOT = os.path.join(BASE_DIR, 'media')

  • 在当前项目文件夹下创建 media 文件夹

    $ mkdir media

  • 上传文件的视图处理函数 方案1 传统写入

    # file views.py
from django.http import HttpResponse
from django.conf import settings
from django.views.decorators.csrf import csrf_exempt
import os

@csrf_exempt
def upload_view(request):
    if request.method == 'GET':
        return render(request, 'test_upload.html')
    elif request.method == "POST":
        a_file = request.FILES['myfile']
        print("上传文件名是:", a_file.name)
        filename =os.path.join(settings.MEDIA_ROOT, a_file.name)
        with open(filename, 'wb') as f:
            data = a_file.file.read()
            f.write(data)  
        return HttpResponse("接收文件:" + a_file.name + "成功")

  • 上传文件的视图处理函数 方案2 借助orm

    #test_upload/models.py
from django.db import models
  
# Create your models here.
class Content(models.Model):

    desc = models.CharField(max_length=100)
    myfile = models.FileField(upload_to='myfiles')

#test_upload/views.py
from test_upload.models import *
from django.views.decorators.csrf import csrf_exempt

@csrf_exempt
def upload_view_dj(request):
    if request.method == 'GET':
        return render(request, 'test_upload.html')
    elif request.method == 'POST':
        title = request.POST['title']
        a_file = request.FILES['myfile']
        Content.objects.create(desc=title,myfile=a_file)
        return HttpResponse('----upload is ok-----')

  • 若要在浏览器中访问 上传的资源,runserver环境下,需要在项目得主路由下添加media路由的绑定

    from django.conf import settings
from django.conf.urls.static import static
urlpatterns += static(settings.MEDIA_URL, document_root=settings.MEDIA_ROOT)

    浏览器可以访问 http://127.0.0.1:8000/media/xxxx

Fan Wang&YuanyuanLuo
关注
专栏目录
5 - django-csrf-session&cookie
大欣的IT之路
03-28 573
文章目录1 CSRF跨站请求伪造1.1 CSRF攻击介绍及防御1.2 防御CSRF攻击1.2.1 验证 HTTP Referer 字段1.2.2 在请求地址中添加 token 并验证1.2.3 在 HTTP 头中自定义属性并验证1.2.4 django csrf token1.3 form表单提交1.4 ajax提交1.5 CSRF装饰器2 Cookie&Session2.1 cookie...
Python+django实现文件下载
12-25
(1)方法一、直接用a标签的href+数据库中文件地址,即可下载。缺点:word excel是直接弹框下载,对于image txt 等文件下载方式是直接在新页面打开。 (2)方法二、在python后台对下载内容进项处理,返回内容直接弹出下载框。 #后台处理函数 def downloadFile(req): filename=basePath+req.GET['url'] def file_iterator(file_name, chunk_size=512): with open(file_name) as f: while True: c =
Django实现文件上传下载功能
09-18
主要为大家详细介绍了Django下完成文件上传下载功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Django框架的文件上传文件下载
qq_46136363的博客
10-07 307
## Django框架的文件上传文件下载 目录 文章目录目录文件上传上传文件的视图处理函数 **方案1 传统写入**上传文件的视图处理函数 **方案2 借助orm**第二中方案,比较方便,必不可少的两部文件下载页面分页Paginator对象Page对象中间件 Middleware跨站请求伪造攻击 CSRF 文件上传 文件上传必须为POST提交方式 表单<form>中文件上传时必须有带有enctype="multipart/form-data" 时才会包含文件内容数据。 表单中用&
Django框架中的文件上传
梓栋DREM
04-28 2569
文件上传三要素: 提交方式 必须是post 。 enctype 必须是 multipart/form-data。 标签类型必须是 file类型。 文件上传的步骤: 第一步:在模板文件中,创建一个form表单,需要特别注意的是,在有文件上传的form表单中,method属性必须为post,而且必须指定它的enctype为multipart/form-data,表明不对字符进行编码,具体的代码如下...
django文件上传下载
weixin_30919571的博客
09-16 247
def update(req: django.http.HttpRequest): if req.method == "POST": print("has file") with open("f:/file", "wb") as f: print("get f") print...
Django 搜索结果分页的实现 以及点击下一页搜索条件丢失可能的原因分析
12-22
1.Django 搜索结果分页的实现 在这里我们用django自带的分页模块来实现 这个paginator对象中带有如下属性: #per_page:每页显示条目数量 #count:数据总个数 #num_pages:总页数 #page_range:总页数的索引范围,如...
django上传图片分页三级联动效果的实现代码
09-18
Django中实现图片上传分页和三级联动效果,主要涉及到以下几个关键点: 1. **上传图片配置**: - 首先,需要在项目目录下创建一个用于存储上传图片的目录,例如`static/media/booktest`。 - 接着,在`...
文件上传下载系统
12-04
8. **安全性**:在设计文件上传下载系统时,必须考虑到安全性问题,例如防止SQL注入、XSS攻击、CSRF攻击等。对上传文件进行类型检查和大小限制,避免恶意文件上传,同时使用HTTPS协议确保数据传输的安全。 9. *...
Python Django实现layui风格+django分页功能的例子
09-18
PythonDjango框架中,实现layui风格的分页功能是一项常见的需求,这不仅可以提高用户体验,还能有效地管理大量数据的展示。layui是一个流行的前端UI框架,它的设计简洁、优雅,与Django的后端功能结合可以创建出...
Django 实现下载文件功能的示例
09-20
主要介绍了Django 实现下载文件功能的示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Django 安装
weixin_30498807的博客
05-23 106
在安装 Django 前,系统需要已经安装了Python的开发环境。接下来我们来具体看下不同系统下Django的安装。Window 下安装 Django如果你还未安装Python环境需要先下载Python安装包。1、Python 下载地址:https://www.python.org/downloads/2、Django 下载地址:https://www.djangoproject.com/dow...
pythondjango框架下载_Django框架文件下载的实现?
weixin_39821330的博客
12-05 130
Django 实现的资源分享网站,在写下载的时候出现了点问题,不知道怎么办,百度不到,就来问问,在线等,急。这个是报的错,文件是通过 model 的 FileField 和 form 的 FileField 的传到 upload 文件夹的。def resource_upload(req):if req.method == 'POST':ruf = ReUpForm(req.POST, req....
Django框架中上传图片
墨茶Official 愿你在二次元有吃不完的草莓 饺子(ㄒoㄒ)
05-20 300
上传图片需要有静态文件,我们在setting中配置一下 STATICFILES_DIRS = ( os.path.join(BASE_DIR, ‘static’) ) 下一步 在项目中创建一个静态文件(我的命名为static) static下再建一个文件用来存储图片(我的命名为img) ![在这里插入图片描述](https://img-blog.csdnimg.cn/201905202016...
python+django-mezzanine安装
xuyelong1的博客
01-21 2089
Django 安装 在安装 Django 前,系统需要已经安装了Python的开发环境。接下来我们来具体看下不同系统下Django的安装。 Window 下安装 Django 如果你还未安装Python环境需要先下载Python安装包。 1、Python 下载地址:https://www.python.org/downloads/ 2、Django 下载地址:ht
Django】应该了解的Web文件下载
黎明总是如期而至
11-14 1329
作为一个python语言的使用者,曾经使用django框架做过前后端分离和不分离的各种网站,文件下载是一个系统的基本功能,本文主要以Django后端分离的角度来分析web端如何下载文件。提示:以下是本篇文章正文内容,下面案例可供参考实现下载不难,我们工作中需要注重沟通,确认好双方的传输内容,比如以二进制传输还是以文件传输等,觉得文章写得还行,可以互相关注。
快速上手Django(九) -Django下载文件Django上传文件Django实现excel导入导出
最新发布
西京刀客
05-03 5974
在实际的项目中很多时候需要用到下载功能,如导excel、pdf或者文件下载
Django文件下载功能
m0_51453764的博客
02-22 776
django针对文件下载专门提供了StreamingHttpResponse对象用来代替HttpResponse对象,以流的形式提供下载功能。StreamingHttpResponse对象用于将文件流发送给浏览器,与HttpResponse对象非常相似,对于文件下载功能,使用StreamingHttpResponse对象更加稳定和有效。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Fan Wang&YuanyuanLuo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值