day5保持状态(cookie,session,csrf)

最新推荐文章于 2024-07-24 10:06:05 发布
最新推荐文章于 2024-07-24 10:06:05 发布
阅读量83 收藏
点赞数
文章标签: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_60677608/article/details/124423214
版权

目录:

1.Session的用法
2.Session与Cookie的区别
3.CSRE攻击的解决方法

cookie逻辑图:

客户端—>(第一次登录)服务器–>生成cookie信息–>返回cookie信息(响应)–>客户端(保存cookie信息)–>发送cookie请求–>服务器–>对cookie进行辨别–>返回响应–>客户端
请添加图片描述

5.1Cookie介绍

5.1.1HTTP短连接的解惑

短链接:没有记录功能,每次访问都需要重新拉联系
长链接:不会立马断开连接,有一定的缓冲时间
HTTP/1.0默认使用短连接
HTTP/1.1默认使用长连接

5.1.2状态保持的秘密

Cokie与Session从开始到今在WEB上都是非常关键和重要的,并且通过Response的响应给客户端。当下一次访问的服务端的时候,就会将这个Cookie值连带发送到服务端

5.1.3啥是Cookie

理解:服务端会为客户端生成一个Cookie键值对数据,Cookie的值存储在浏览器下,是明文传递的纯明文字符串

5.1.4Cookie的操作

步骤:

设置COOKIE和获取

配置路由

#cookie路由
path(‘cookie/’,views.CookeView.as_view()),

from django.http import HttpResponse
from django.shortcuts import render,redirect

class CookeView(View):
    # 如果没有cookie的话设置cookie,如果有的话,展示当前的cookie
    def get(self,request):
        cookie_data=request.COOKIES.get('shenfen')
        if cookie_data is None:
            # 如果信息不存在设置cookie
            resp=HttpResponse('设置cookie')
            resp.set_cookie('shenfen','kejindalao')
            return resp
        else:
            return HttpResponse(f'当前信息为{cookie_data}')
删除Cookie

配置路由

#删除cookie路由path(‘delcookie/’,views.DelCookieView.as_view())

from django.http import HttpResponse
from django.shortcuts import render,redirect

class DelCookieView(View):
    def get(self,request):
        resp=HttpResponse('删除cookie信息')
        resp.delete_cookie('shenfen')
        return resp
防止串改

set_signed_cookie函数进行持有签名的COOKIE值设置,避免用户在客户端进行修改
注:函数不是对COOKIE值进行加密

5.2Session

Session的原理

完善Cookie:Cookie之后,把信息存储在客户端浏览器上,可以用保持状态,但是就算这样也不太安全,例如:Cookie暴露和篡改等,用Session就可以解决这个问题
Session的特点:简称会话,用于存储用户以及对信息的配置的属性。当在web服务中跳转,数据不会丢失。

5.2.2框架是如何存储管理Session

获取Session

session_data=request.session.get(‘money’)
request.session[‘money’]=‘10000’

** views下定义类 **

class SessionView(View):
    def get(self,request):
        session_data=request.session.get('money')
        if session_data is None:
            request.session['money']='10000'
            return HttpResponse('设置ssession')
        else:
            return HttpResponse(f'信息为:{session_data}')

配置路由

    # 获取session数据
    path('session/',views.SessionView.as_view()),

页面显示(进去)
请添加图片描述
刷新后
请添加图片描述

删除Session

class DelSessionView(View):
    def get(self,request):
        if request.session.get('money') is None:
            return HttpResponse('session不存在')
        else:
            del request.session['money']
            return HttpResponse('session已删除')

引用路由

    # 删除session数据
    path('delsession/',views.DelSessionView.as_view())

页面的显示
进入路由之后请添加图片描述
刷新后请添加图片描述

5.3 Csrf

5.3.1什么是CSRF

CSRF:跨站请求伪造

5.3.2CSRF攻击模式的实现

流程的实现:
请添加图片描述

如何防止CSRF攻击

为啥在getpost中,get不需要防范:
因为get被认为是查询操作,查询的意思是,查看你所写的数据,不会对数据库产生影响。

昨日作业总结:
题目:

图书项目
1.创建django项目,项目名day3+姓名首拼,例如元宝,day3yb
2.创建django应用 books
3.创建用户模型类(包含用户名和密码)
4.创建数据模型类(包含书名,类型 和 价格)
5.编写注册视图代码,能将账号密码保存到数据库中,然后重定向到登录视图
6.编写登录视图代码,能判断账号密码是否正确,然后重定向到主视图
7.主视图展示内容(注册成功的用户有哪些,书籍信息有哪些(书籍信息自己通过控制台添加))

报错的点:
在数据库中创建的同名数据太多了匹配不到
请添加图片描述
数据库中的数据user过多:
请添加图片描述
pycharm中如果设置不了字符串类型就在判断密码的时候写一个str:
请添加图片描述

晨馨yy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cookie保持登陆状态
08-13
综上所述,"Cookie保持登录状态"是一个涉及Web开发基础、用户身份验证和安全性的课题。实际应用中,开发者需要综合运用CookieSession、HTTP协议以及安全策略来确保用户登录状态的正确管理和安全性。通过理解这些...
实验二 CSFR漏洞、Insecure CAPTCHA漏洞、文件包含
Sumarua的博客
10-24 585
实验二 CSFR漏洞、Insecure CAPTCHA漏洞、文件包含 一、实验目的1、了解csrf漏洞定义及原理;2、使学生掌握csrf漏洞利用,以及防御方法。3、了解Insecure CAPTCHA漏洞定义及原理。4、使学生掌握Insecure CAPTCHA漏洞利用,以及防御方法。5、了解文件包含漏洞定义及原理;6、使学生掌握文件包含漏洞利用,以及防御方法。二、实验环境DVWA实验平台、php编辑器等。三、实验内容及步骤:   1、XSS存储型漏洞低中高级别代码分析。 &n
什么是 CSRF 攻击
热门推荐
点滴
03-28 3万+
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事 通常当用户打开了黑客的页面后,黑客有三种方式去实施 CSRF 攻击。 下面我们以极客时间官网为例子,来分析这三种攻击方式都是怎么实施的。这里假设极客时间具有转账功能,可以通过 POST 或 Get 来实现转账,转账接口如下所示: 有了上面的
CSRF 攻击是什么?如何防范?
岁月如歌去,十年弹指间
06-14 2万+
CSRF(Cross-site request forgery)也被称为 one-click attack或者 session riding,中文全称是叫跨站请求伪造。 一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击...
攻击技术(CS-Notes)
春卷同学的博客
08-04 944
目录 1 跨站脚本攻击 1.1 概念 1.2 攻击原理 1.3 危害 1.4 防范手段 1. 设置 Cookie 为 HttpOnly 2. 过滤特殊字符 2 跨站请求伪造 2.1 概念 2.2 攻击原理 2.3 防范手段 1. 检查 Referer 首部字段 2. 添加校验 Token 3. 输入验证码 3 SQL 注入攻击 概念 攻击原理 ...
Cookie使用原理详解
程序猿玄微子
05-23 866
什么是Cookie cookies是一种WEB服务器通过浏览器在访问者的硬盘上存储信息的手段。IE浏览器把Cookie信息保存在类似于C://windows//cookies的目录下。 当用户再次访问某个站点时,服务端将要求浏览器查找并返回先前发送的Cookie信息,来识别这个用户。 cookie 是服务器 存储数据到 浏览器 的一种技术,用于跟踪客户状态。比如证明客户身份: 是否是第一次访问,是否已经登录等 Cookie的用处 cookies给网站和用户带来的好处非常多: 1、Cookie能使.
使用session保持登陆状态
08-13
3. **保持状态**:当用户刷新页面或访问其他受保护的页面时,浏览器会自动将`JSESSIONID`cookie附带在HTTP请求头中发送给服务器。服务器接收到请求后,通过session ID查找对应的session数据,确认用户已登录状态。 ...
PHP 实现超简单的SESSIONCOOKIE登录验证功能示例
10-15
4. **设置SESSION/COOKIE**:登录成功后,将用户信息(如用户名、角色、登录时间、IP地址等)存入SESSION。对于非管理员,使用 `setcookie()` 设置相应的COOKIE。 5. **重定向**:最后,使用 `header()` 函数重定向...
Laravel开发-cookie-csrf
08-27
在Laravel框架中,CookieCSRF(Cross-Site Request Forgery,跨站请求伪造)是两个关键的安全概念。理解并正确使用它们对于构建安全、可靠的Web应用至关重要。 Cookie是服务器存储在用户浏览器上的小型数据文件,...
iOS中关于Cookie验证登录状态
08-30
为了在应用重启后仍然能够保持用户登录状态,我们需要将Cookie保存到本地。可以使用`NSKeyedArchiver`将`NSHTTPCookieStorage`中的Cookie序列化为NSData对象,然后存储到`NSUserDefaults`。这样,即使应用关闭,...
发送和接收cookie
每天写一点,进步一点点
07-17 1035
要把cookies发送到客户端,Servlet先要调用new cookies(name, value)用合适的名字和值创建一个或者多个cookies,通过cookie.setXxx()设置各种属性,通过response.add(cookies)把cookies加入到响应头。 要从客户端读入cookies,Servlet应该调用request.getCookies(),getCookies()...
Cookie 从入门到进阶:一文彻底弄懂其原理以及应用
Scar的博客
03-16 1721
一、Cookie 是什么? Cookie,它的名字源自一种叫 Fortune cookie 的饼干,这种饼干里面有一张写着精辟句子的小纸条。 在浏览器中,Cookie 是服务器让浏览器帮忙携带信息的手段,就像饼干里的纸条,浏览器会储存它,并且在后续的 HTTP 请求中再次发送给服务器。 二、Cookie 应用 主要用于以下三个方面: 会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息) 个性化设置(如用户自定义设置、主题等) 浏览器行为跟踪(如跟踪分析用户行为等) 因为 HTTP
【优秀python系统案例】基于django的酒店民宿可视化推荐系统
weixin_49081159的博客
07-23 290
传统的住宿推荐系统往往依赖于用户的历史行为和简单的评分反馈,难以精准捕捉用户的实际需求。基于 Django 的酒店民宿可视化推荐系统不仅是技术的创新,更是提升用户体验的重要手段。它通过精准的推荐和直观的可视化,为用户提供更为便捷和愉悦的住宿选择体验。数据可视化技术:利用现代数据可视化工具,如 D3.js、Chart.js 等,将复杂的数据信息以直观的图表形式展示给用户,帮助他们更好地理解和选择。推荐算法的优化:结合协同过滤、内容过滤和混合推荐等算法,提升推荐的准确性和个性化程度。
Django视图与URLs路由详解
4.0啊的博客
07-23 1699
在本系列文章中,我们从多方面详细探讨了在Django中设置和使用视图、URL路由以及测试和调试的技巧。正确的路由配置对于网站结构的清晰性和用户体验都是至关重要的。我们也介绍了如何通过编写单元测试和集成测试来保证代码质量,以及如何使用Django的调试工具来识别和解决代码中的问题。希望这些内容能够帮助您更好地理解和利用Django的强大功能,为您的应用构建一个安全、高效且易于维护的后端系统。无论是正在开发一个小项目还是大型应用,掌握这些基本的技术都是成功开发的关键。
Python从0到100(四十三):数据库与Django ORM 精讲
Hello大家好,我是Dream,如果帮得到你,那我深感荣幸!交流学习、商务合作:https://bbs.csdn.net/topics/614347534
07-22 1174
Django 里面, 数据库表的操作,包括 表的定义、表中数据的增删改查,都可以通过 Model 类型的对象进行的。通常,在Django中:定义一张数据库的表 就是定义一个继承自 django.db.models.Model 的类定义该表中的字段(列), 就是定义该类里面的一些属性类的方法就是对该表中数据的处理方法,包括 数据的增删改查在Django中,定义数据模型非常简单。我们只需要在models.py文件中创建继承自Model的类,并定义相应的字段即可。
如何使用Python的http.server模块(或Flask/Django的简化版本)实现一个简单的HTTP服务器,能够处理GET和POST请求
2402_85246552的博客
07-23 492
对于更复杂的HTTP服务器需求,如处理路由、模板渲染、数据库交互等,你可能会选择使用Flask或Django这样的Web框架。以下是Flask和Django的简化示例,用于处理GET和POST请求。请注意,Django的视图函数通常需要与URLconf(URL配置)相结合才能工作,而且Django项目需要更复杂的设置和初始化步骤。模块本身并不直接支持POST请求的解析,你需要自己手动解析POST数据。每种方法都有其适用的场景和优势,你可以根据自己的需求选择最适合的工具。来解析简单的URL编码的表单数据。
Django】网上蛋糕商城后台-商品管理
笔触狂放的博客
07-18 1132
选择某个商品,点击加入条幅,移除条幅,加入热销,移除热销,加入新品,移除新品按钮时,触发请求事件,传递不同参数信息给服务器。当管理员修改信息以及重新选择新图片后,将表单提交给服务器,服务器通过比较原图片以及新图片地址判断当前图片是否需要重新上传。当管理员填写完商品信息以及选择好上传的图片后,点击提交保存按钮,将表单提交给服务器。当管理员选择某个商品进行修改时,将该商品的商品编号以及所在分页页码发送给修改页面。当管理员选择某个商品删除的时候,触发请求。当管理员点击商品管理时,发送服务器请求。
Django】在vscode中运行调试Django项目(命令及图形方式)
xzzteach的博客
07-23 539
【代码】【Django】在vscode中运行调试Django项目(命令及图形方式)
Python 基于 Django 的内容管理系统库之feincms使用详解
最新发布
Rocky006的博客
07-24 1072
在现代 Web 开发中,内容管理系统(CMS)已经成为管理和发布内容的重要工具。FeinCMS 是一个基于 Django 的简单且灵活的内容管理系统,它专注于提供一种轻量级但功能强大的 CMS 解决方案。对于开发者来说,FeinCMS 提供了一种易于扩展和定制的方式,可以满足不同项目的需求。本文将详细介绍 FeinCMS 库,包括其安装方法、主要特性、基本和高级功能,以及实际应用场景,帮助全面了解并掌握该库的使用。
PHP5 Session详解:存储用户状态与实现机制
- 虽然Session提供了简单易用的用户状态跟踪,但也需要防范如CSRF(跨站请求伪造)等安全威胁。确保对session_id进行加密处理,防止中间人攻击,并且不要在URL中直接暴露session_id。 PHP5的Session是Web开发中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值