django的session原理流程,自定义中间件,csrf跨站请求伪造

最新推荐文章于 2022-11-30 16:26:00 发布
最新推荐文章于 2022-11-30 16:26:00 发布
阅读量205 收藏
点赞数
分类专栏: start all over again
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yikenaoguazi/article/details/109243381
版权
本文介绍了Django的session工作原理,详细讲解了自定义中间件的实现,包括process_request、process_response、process_view和process_exception四个方法。同时,深入探讨了CSRF跨站请求伪造问题,并通过代码演示了防范CSRF攻击的方法。
摘要由CSDN通过智能技术生成

day75

一.昨日回顾

1 django中cookie的使用
	-增 obj.set_cookie(key,value,max_age)
	-删 obj.delete_cookie(key)
	-查 request.COOKIE.get(key)
	-改 obj.set_cookie(key,value,max_age)
2 django中session的使用(迁移数据库)
	-增 request.session['key']=value
	-del request.session['key']
	-全部删除 request.session.flush():cookie和数据库都删除,request.session.delete():只删数据库
	-查 request.session['key']
	-改 request.session['key']=value
	
	-超时时间

3 cbv加装饰器
	-第一种:加在类上
	fromdjango.utils.decorators import method_decorator
	@method_decorator(login_auth,name='get')
	class UserList(views.View):
		pass
	-第二种:加在方法上
	from django.utils.decorators import method_decorator
	class UserList(views.View):
		@method_decorator(login_auth)
		def get(self):
			pass

二.今日内容

1.django的session原理流程

在这里插入图片描述

2.自定义中间件

1 自定义步骤:
	-写一个类,继承MiddlewareMixin
	-里面写方法process_request(请求来了,一定会触发它的执行)
	-在setting中配置(注意,放在前和放在后)
	MIDDLEWARE = [
		...
		'app01.mymiddle.MyMiddleware1',
		...
	]

3.process_request,process_response,process_view,process_exception

1 process_request(request对象)
2 process_response(request对象,response对象)
3 多个中间件,执行顺序是什么?
	-请求来的时候,从上往下执行:process_request
	-请求走的时候,从下往上执行:process_response
4 process_request可以干什么?
	-写一个中间件,不管前端用什么编码,在request.data中都有post的数据
	-频率限制(限制某个ip地址,一分钟只能访问5)
	-登录认证(只要没登录,重定向到login路径)
	-记录用户访问日志(ip,时间,访问路径)

5 process_response可以干什么?内部有response对象
	-统一给所有(某几个路径)加cookie
	-统一给所有(某几个路径)加响应头

6 process_view路由匹配成功和视图函数执行之前执行(callback就是视图函数)
	def process_view(self, request, callback, callback_args, callback_kwargs):
	# print(callback)
            # print(callback_args)
            # print(callback_kwargs)
            #
            res=callback(request)
            #
            print("中间件1的process_view")
            return res

7 process_exception 视图函数出错,会执行它(全局异常捕获)(记录日志,哪个ip地址,访问哪个路径,出的错)
# 全局异常捕获,返回4开头的
def process_exception(self,request,exception):
	print(exception)
	return render(request,'error.html')

如果当请求到达请求2的时候直接不符合条件返回,即return HttpResponse(“ok”),程序将把请求直接发给中间件2返回,然后依次返回到请求者,结果如下:

在这里插入图片描述

process_view
在这里插入图片描述

process_exception
当views出现错误时:
在这里插入图片描述

4.CSRF_TOKEN跨站请求伪造

1 跨站请求伪造
2 代码演示
3 django解决了csrf攻击,中间件:
django.middleware.csrf.CsrfViewMiddleware

4 后期中间件不能注释,每次发送post请求,都需要携带csrf_token随机字符串
	-form表单提交
		-在form表单中{% csrf_token %}
	-ajax提交(如何携带)
	方式一:放到data中
	方式一 依然要先书写{% csrf_token %},再通过默认储存标识码的标签获取标识码
	$.ajax({
            url: '/csrf_test/',
            method: 'post',
            data: {'name': $('[name="name"]').val(),
                'password': $('[name="password"]').val(),
                'csrfmiddlewaretoken':$('[name="csrfmiddlewaretoken"]').val()
            },
            success: function (data) {
                console.log('成功了')
                console.log(data)

            },
            error: function (data) {
                console.log('xxxxx')
                console.log(data)

            }
        })
        方式二:放到data中
        方式二 利用模板语法获取标识码
        'csrfmiddlewaretoken':'{{ csrf_token }}'
        方式三:放到头中
        方式三 通过导入js模块,声明ajax的post请求默认携带标识码
        	headers:{'X-CSRFToken':'{{csrf_token}}'},

# jquery.cookie.js
	-再浏览器中对cookie进行增,,,-前后端分离(js操作cookie)


# 全局使用,局部禁csrf
	-在视图函数上加装饰器
    from django.views.decorators.csrf import csrf_exempt,csrf_protect
# 全局启用,局部禁用(中间件不能注释,这个视图函数,已经没有csrf校验了)
# @csrf_exempt
# def csrf_test(request):
#     if request.method=='GET':
#         return render(request,'csrf_test.html')
#     else:
#         name=request.POST.get('name')
#         password=request.POST.get('password')
#         print(name)
#         print(password)
#         return HttpResponse('登录成功')

# 全局禁用,局部使用csrf
@csrf_protect
def csrf_test(request):
    if request.method=='GET':
        return render(request,'csrf_test.html')
    else:
        name=request.POST.get('name')
        password=request.POST.get('password')
        print(name)
        print(password)
        return HttpResponse('登录成功')



# 古怪的使用方式,在urls.py中
path('csrf_test/', csrf_exempt(views.csrf_test))
跨站请求伪造代码演示

views.py

def login_auth(func):
    def inner(request, *args, **kwargs):
        # 登录校验
        name = request.session.get('name')
        if name:
            res = func(request, *args, **kwargs)
            return res
        else:
            path = request.get_full_path()
            return redirect('/login/?returnUrl=%s' % path)

    return inner


### session版登录
def login(request):
    if request.method == 'GET':

        return render(request, 'login.html')
    else:
        name = request.POST.get('name')
        password = request.POST.get('password')
        if name == 'lqz' and password == '123':
            # 写入session
            # 登录成功,重定向
            request.session['name']=name
            path = request.GET.get('returnUrl')
            if path:
                obj = redirect(path)
            else:
                obj = redirect('/index/')

            return obj
        else:
            return HttpResponse('用户名或密码错误')

@login_auth
def index(request):
    return render(request,'index.html')


@login_auth
def transfer(request):
    # /transfer/?from=lqz&to=egon&total=100
    f=request.GET.get('from')
    t=request.GET.get('to')
    total=request.GET.get('total')
    print('转账成功')
    return HttpResponse('转账成功')

def hack(request):
	return render(request,'hack.html')

urls.py

url(r'^$', views.index),
    url(r'^login/', views.login),
    url(r'^transfer/', views.transfer),
    url(r'^hack/', views.hack),

login.html

<body>
<form action="" method="post">
    <p>用户名: <input type="text" name="name"></p>
    <p>密码: <input type="password" name="password"></p>
    <p><input type="submit" value="提交"></p>
</form>
</body>

index.html

<body>
<a href="/transfer/?from=lqz&to=egon&total=100">点我给egon转100块钱</a>

</body>

hack.html

<body>
<a href="http:127.0.0.1:8000/transfer/?from=lqz&to=egon&total=100">点我了解更多</a>

</body>
yikenaoguazi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django SessionMiddleware
随心的专栏
02-27 952
DjangoSession完全支持。Django 可以将session 数据存储在服务端,并对cookie 的存取过程完成抽象。注意:cookie中只包含session ID,而不是session数据本身(除非你使用cookie 作为session的后端)。 如果你要使用session功能,则你需要在setting.py文件中配置 中间件。 1. 关于Session存储引擎 默认情况下,s...
Django CSRF跨站请求伪造防护过程解析
09-18
CSRF跨站请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网站发起对受害者的合法网站的请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
python-django_session原理流程_django_中间件_CSRF-跨站请求伪造
qq_31455841的博客
10-25 253
django 1. djangosession原理流程 2. django 中间件 1. 中间件简介 """ django中间件django的门户 1.请求来的时候需要先经过中间件才能到达真正的django后端 2.响应走的时候最后也需要经过中间件才能发送出去 django自带七个中间件 """ # 研究django中间件代码规律 django 中的中间件(middleware),在django中,中间件其实就是一个类,在请求到来和结束后,django会根据自己的规则在合适的时机
[django]session设置与获取原理
weixin_30617695的博客
08-23 367
admin登录 情况1: 登录后会产生一个sessionid 情况2: 自定义设置了key后,会多一个sessionid, 登录后会替换为登录后的sessionid的key值 if username == "maotai" and password == "123456": request.session['name'] = "maotai-sessio...
django settings 定义的变量不存在_Django 开发之如何自定义csrf 校验失败行为
weixin_39671631的博客
11-30 178
0x00. csrf 校验失败处理流程django 自带的csrf 中间件源码: django.middleware.csrf如果csrf 校验失败,则会调用_reject函数, 返回csrf 失败的内容:_reject函数调用_get_failure_view 函数, _get_failure_view 函数返回的是settings.CSRF_FAILURE_VIEW 指向的视图函数对象 ,执行...
Django Session使用原理基础概念 及 案例
Zok的博客
08-21 1050
基础概念 !!!session针对浏览器,一浏览器对应一session,切换账户也是一个session Session是保存在服务器的键值对 必须依赖于Cookie 存Session: 1. 在服务器生成随机字符串; 2. 生成一个和字符串对应的字典,用来储存用户数据 3. 随机字符串当作cookie 返回给浏览器 取Session: 1.从Cookie里找随机字符串...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者诱使用户在当前已登录的Web应用程序上执行非本意的操作。这种攻击通常通过伪装成用户的合法请求来实现,比如通过恶意链接、电子邮件或...
详解DjangoCSRF认证实现
09-20
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击手段,攻击者通过让用户在不知情的情况下发起对受信任网站的恶意请求,利用已登录用户的身份执行非授权的操作。这种攻击通常发生在用户已经登录目标...
Django使用中间键实现csrf认证详解
09-19
Django框架中,CSRF(Cross Site Request Forgery,跨站请求伪造)是一种重要的安全机制,用于防止恶意第三方在用户浏览器中冒充用户发送非预期的请求Django通过中间件`django.middleware.csrf....
解决Django提交表单报错:CSRF token missing or incorrect的问题
09-17
Django框架中,CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种重要的安全防护机制,用于防止恶意用户模拟已登录用户的操作。当你遇到"CSRF token missing or incorrect"的错误时,通常意味着Django无法...
5 - django-csrf-session&cookie
anhuoqiu1787的博客
03-28 357
目录 1 CSRF跨站请求伪造 1.1 CSRF攻击介绍及防御 1.2 防御CSRF攻击 1.2.1 验证 HTTP Referer 字段 1.2.2 在请求地址中添加 token 并验证 1.2.3 在 HTTP 头中自定义属性并验证 1...
django 中的用户身份验证和 session 的关系
木野狐@CSDN Blog
07-12 4134
Sessionsession 的数据存在数据库中,它在客户端是用 cookie 来识别的,作为一个票据。这个 cookie 的名称,默认就叫 "sessionid",但是可以通过 settings.SESSION_COOKIE_NAME 来修改。sessionid 这个 cookie 的值,在服务器端就是 sessionsession_key 属性,同时数据库的 django_ses
django session 会话
Xuanjinfei的博客
03-01 417
session:   1:INSTALLED_APPS 中有'django.contrib.sessions' 2: MIDDLEWARE 要有中间键 'django.contrib.sessions.middleware.SessionMiddleware' 3: 设置存储形式 按 ctrl + alt + r 输入migrate session 创建django_session数据库 4: 引...
python---django中模板渲染(csrf令牌使用,自定义模板函数)
weixin_30411239的博客
03-25 107
使用终端,可以更方便的去实验,但是没有提示信息: 在项目目录下: D:\MyPython\day23\HelloWorld>python manage.py shell 开始实验: >>> from django.template import Context,Template >>> t=Template("hello{{name}...
django利用中间件session优化登录
MaskOrange
08-21 545
创建目录及.py文件命名如图 .py文件中代码如下 from django.utils.deprecation import MiddlewareMixin from django.shortcuts import redirect # 白名单 # /: 表示访问商城的首页 white_list = ['/seller/login/', '/seller/register/', '/'] ...
python cookie伪造_Python Django-CSRF跨站请求伪造防护
weixin_39984442的博客
12-11 215
前言CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。攻击原理1、用户访问正常的网站A,浏览器就会保存网站A的cookies。2、用户在访问恶意网站B, 网站B上有某个隐藏的链接会自动请求网站A的链接地址,例如表单提交,传指定的参数。3...
DjangoAuth模块 实现登录,退出,自带session 与认证功能的一个重要的模块
weixin_30797199的博客
04-26 343
Auth模板 1. 什么是Auth模块,有什么用? djangoauth的模块的使用: auth 是集合注册,登录,注销,session 多个功能集合在一起的模块 2. 使用Auth组件的默认auth_user表常用操作 from django.contrib.auth.models import User # 1、创建普通用户 User.objects.create...
djangosession认证原理
veujs的博客
11-30 227
djangosession认证原理逻辑梳理
Django】用户认证 Auth cookie session
Marianas Trench
12-10 496
Auth模块 Cookies Cookie 是存储在客户端计算机上的文本文件,并保留了各种跟踪信息。 一个 Web 服务器可以分配一个唯一的 session 会话 ID 作为每个 Web 客户端的 cookie,对于客户端的后续请求可以使用接收到的 cookie 来识别。 设置 cookie: rep.set_cookie(key,value,...) rep.set_signed_cookie(key,value,salt='加密盐',...) #例子:用户登录验证完后,返回response rep
Django中的CSRF(跨站请求伪造)
最新发布
05-21
Django中的CSRF是一种安全机制,可以防止跨站请求伪造攻击。在Django中,默认情况下,所有的POST、PUT、DELETE请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。 具体来说,Django在生成表单时会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值