专栏首页有趣的django30.Django CSRF 中间件

30.Django CSRF 中间件

CSRF

1.概述

  CSRF(Cross Site Request Forgery)跨站点伪造请求,举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。

  为了避免上面情况的出现,Django引用了CSRF防护机制;Django第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 token,并把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token,这样就能避免被 CSRF 攻击。如果POST请求中没有token随机字符串,则返回403拒绝服务

  • 在返回的 HTTP 响应的 cookie 里,django 会为你添加一个 csrftoken 字段,其值为一个自动生成的 token
  • 在所有的 POST 表单时,必须包含一个 csrfmiddlewaretoken 字段 (只需要在模板里加一个 tag, django 就会自动帮你生成,见下面)
  • 在处理 POST 请求之前,django 会验证这个请求的 cookie 里的 csrftoken 字段的值和提交的表单里的 csrfmiddlewaretoken 字段的值是否一样。如果一样,则表明这是一个合法的请求,否则,这个请求可能是来自于别人的 csrf 攻击,返回 403 Forbidden。
  • 在所有 ajax POST 请求里,添加一个 X-CSRFTOKEN header,其值为 cookie 里的 csrftoken 的值

 2.启用方式

 settings里面全局启用

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

局部使用方法

先导入

from django.views.decorators.csrf import csrf_exempt,csrf_protect

3.form表单提交POST请求

 login.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <form action="/login/" method="post">
        {% csrf_token %}                   
        <input type="text" name="user" />
        <input type="text" name="pwd" />
        <input type="checkbox" name="session" value="1"/>
        <input type="submit" value="提交" />
    </form>
</body>
</html>
from  django.shortcuts import render,HttpResponse,redirect

def login(request):
    if request.method == 'GET':
        return render(request ,'login.html')
    elif request.method == 'POST':
        user = request.POST.get('user')
        pwd = request.POST.get('pwd')
        if user == 'root' and pwd == "123":
            # 生成随机字符串
            # 写到用户浏览器Cookie
            # 保存到Session中
            #  在随机字符串对应的字典中设置相关内容...
            request.session['username'] = user
            request.session['if_login'] = True  # 可不加 直接判断username也可以
            if request.POST.get('session') == '1':  # 单独设置超时时间,当前session生效,不影响全局
                request.session.set_expiry(10)  # 10秒
            return redirect('/index/')
        else:
            return redirect('/login/')

def index(request):
    # 获取当前用户的随机字符串
    # 根据随机字符串获取对应信息
    if request.session.get('if_login'):
        return render(request, 'index.html')
    else:
        return redirect('/login/')

4.Ajax提交POST请求

 login.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <form action="/login/" method="post">
        {% csrf_token %}
        <input type="text" name="user" />
        <input type="text" name="pwd" />
        <input type="checkbox" name="session" value="1"/>
        <input type="submit" value="提交" />
        <input id='btn' type="button" value="Ajax提交" />
    </form>

    <script src="/static/jquery-1.12.4.js"></script>
    <script src="/static/jquery.cookie.js"></script>

    <script>
        $(function () {
            $('#btn').click(function () {
                $.ajax({
                    url:'/login/',
                    type:'POST',
                    data:{'user':'root','pwd':'123'},
                    headers:{'X-CSRFtoken':$.cookie('csrftoken')},   
                    success:function (arg) {
                    }
                })
            })
        })
    </script>
</body>
</html>

上面html文件点击提交后,执行成功;但是往往一个程序不止一个Ajax请求,所以我们需要对每个Ajax请求都添加headers请求头,这样未免增加很多工作量;这时就需要做全局设置,不必每个都添加请求头

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <form action="/login/" method="post">
        {% csrf_token %}
        <input type="text" name="user" />
        <input type="text" name="pwd" />
        <input type="checkbox" name="session" value="1"/>
        <input type="submit" value="提交" />
        <input id='btn' type="button" value="Ajax提交" />
    </form>

    <script src="/static/jquery-1.12.4.js"></script>
    <script src="/static/jquery.cookie.js"></script>

    <script>
        $(function () {
{#            全局配置,所有Ajax请求都先执行下面操作#}
            $.ajaxSetup({
                beforeSend:function (xhr,settings) {
                    xhr.setRequestHeader('X-CSRFtoken',$.cookie('csrftoken'));
                }
            });

            $('#btn').click(function () {
                $.ajax({
                    url:'/login/',
                    type:'POST',
                    data:{'user':'root','pwd':'123'},
                    success:function (arg) {
                    }
                })
            })
        })
    </script>
</body>
</html>

中间件

1.概述

 django 中的中间件(middleware),在django中,中间件其实就是一个类,在请求到来和结束后,django会根据自己的规则在合适的时机执行中间件中相应的方法;在django项目的settings模块中,有一个 MIDDLEWARE 变量,其中每一个元素就是一个中间件,如下:

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

2.中间件的五种方法

(1)process_request(self,request) 

请求来时执行,不写时直接跳过,执行下一个中间件;当有return HttpResonse时,下面中间件不再执行

(2)process_view(self, request, callback, callback_args, callback_kwargs)   

先执行process_request,执行完后,再从起始执行proces_view

(3)process_template_response(self,request,response) 

如果Views中的函数返回的对象中,具有render方法,此方法执行

(4)process_exception(self, request, exception) 

异常触发执行,当views.py函数执行出错后,此方法执行;出错时,最低层的exception优先级最高,执行最近的一个,

然后执行respnse方法

(5)process_response(self, request, response)

请求返回时执行,不写时直接跳过,执行下一个中间件;当有return HttpResonse时,会替换原数据

以上方法的返回值可以是None和HttpResonse对象,如果是None,则继续按照django定义的规则向下执行,如果是HttpResonse对象,则直接将该对象返回给用户

3.自定义中间件

Django主目录下创建middleware目录(名字任意),在目录下创建m.py文件

1.process_request、process_response的使用

(1)views.py

def test(request):
    print('测试中间件')
    return HttpResponse('ok')

(2)m.py

from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import HttpResponse

class Row1(MiddlewareMixin):    #继承MiddlewareMixin类
    def process_request(self,request):
        print('第一个中间件')
        # return HttpResponse('滚')   #加return,到这里就不会继续往下走了

    def process_response(self,request,response):
        print('返回信息3')
        return response


class Row2(MiddlewareMixin):  # 继承MiddlewareMixin类
    def process_request(self, request):
        print('第二个中间件')

    def process_response(self, request, response):
        print('返回信息2')
        return response


class Row3(MiddlewareMixin):  # 继承MiddlewareMixin类
    def process_request(self, request):
        print('第三个中间件')

    def process_response(self, request, response):
        print('返回信息1')
        return response

(3)settings里面加上自定义的中间件

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'middleware.m.Row1',
    'middleware.m.Row2',
    'middleware.m.Row3',
]

(4)执行结果

第一个中间件
第二个中间件
第三个中间件
测试中间件
返回信息1
返回信息2
返回信息3

2.process_view

m.py

from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import HttpResponse

class Row1(MiddlewareMixin):    #继承MiddlewareMixin类
    def process_request(self,request):
        print('第一个中间件')

    def process_view(self, request, view_func, view_func_args, view_func_kwargs):
        print('view11')

    def process_response(self,request,response):
        print('返回信息3')
        return response


class Row2(MiddlewareMixin):  # 继承MiddlewareMixin类
    def process_request(self, request):
        print('第二个中间件')

    def process_view(self, request, view_func, view_func_args, view_func_kwargs):
        print('view22')

    def process_response(self, request, response):
        print('返回信息2')
        return response


class Row3(MiddlewareMixin):  # 继承MiddlewareMixin类
    def process_request(self, request):
        print('第三个中间件')

    def process_view(self, request, view_func, view_func_args, view_func_kwargs):
        print('view33')

    def process_response(self, request, response):
        print('返回信息1')
        return response

执行结果:

第一个中间件
第二个中间件
第三个中间件
view11
view22
view33
测试中间件
返回信息1
返回信息2
返回信息3

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • python爬虫人门(10)Scrapy框架之Downloader Middlewares

    设置下载中间件(Downloader Middlewares)  下载中间件是处于引擎(crawler.engine)和下载器(crawler.engine.d...

    zhang_derek
  • 13.MySQL(一) 数据库简介mysql安装数据库操作Mysql数据类型存储引擎

    数据库简介 数据库(Database)是按照数据结构来组织、存储和管理数据的仓库 RDBMS 即关系数据库管理系统(Relational Database Ma...

    zhang_derek
  • 23.Django基础

    Django基本配置 Python的WEB框架有Django、Tornado、Flask 等多种,Django相较与其他WEB框架其优势为:大而全,框架本身集成...

    zhang_derek
  • django 实现未经登录验证的url过滤

    本人在做一个基于sae的在线学习系统,语言使用的python,web框架用的是django1.4。

    chain
  • Django学习_简易博客(一)

    zx钟
  • ThinkPHP5配置Config

    Config文件包含:2个属性,7个方法。其中2个属性为私有静态属性,外部不可访问。7个方法为公有静态方法,外部可以直接用类名访问,不需要实例化。

    php007
  • Django框架的安装,项目创建

    郭楷丰
  • 1000个常用的Python库和示例代码

    下面是programcreek通过分析大量开源代码,提取出的最常用的python库。

    用户4962466
  • Django环境搭建

    在学习python语言的过程中,不得不学习django,理由很简单的,就是django有一个很优秀的框架,特别是它提供了一个admin的后台,这样在不浪费什么精...

    无涯WuYa
  • Django-2.0.3快速安装方法

    版权声明:本文为耕耘实录原创文章,各大自媒体平台同步更新。欢迎转载,转载请注明出处,谢谢

    耕耘实录

扫码关注云+社区

领取腾讯云代金券