如何阻止邮递员、失眠等应用程序的请求,并只允许一个来源- django rest框架
在Django REST框架中,如果你想要阻止某些应用程序的请求,并只允许来自特定来源的请求,你可以使用中间件来实现这一功能。以下是一个基本的步骤指南,包括如何设置中间件以及如何在中间件中检查请求来源。
基础概念
中间件(Middleware): 中间件是Django中的一个钩子框架,它允许你在请求和响应处理过程中插入自定义逻辑。中间件可以在请求到达视图之前或响应离开视图之后执行代码。
请求来源(Referer):
HTTP请求头中的Referer字段通常包含了发起请求的前一个页面的地址。虽然这个字段可以被伪造,但在很多情况下,它可以用来判断请求的来源。
相关优势
- 安全性:通过限制请求来源,可以减少未授权访问和潜在的安全威胁。
- 灵活性:中间件提供了一种灵活的方式来处理请求,而不需要在每个视图中重复相同的逻辑。
类型与应用场景
- 类型:这是一种基于HTTP头的访问控制机制。
- 应用场景:适用于需要对API访问进行细粒度控制的场景,例如保护内部API不被外部应用调用。
实现步骤
- 创建中间件:
在你的Django项目中创建一个新的中间件文件,例如
middleware.py。
# middleware.py
from django.http import HttpResponseForbidden
class AllowOnlySpecificRefererMiddleware:
def __init__(self, get_response):
self.get_response = get_response
# 设置允许的来源地址
self.allowed_referer = 'http://allowed-domain.com'
def __call__(self, request):
# 检查请求头中的Referer字段
referer = request.META.get('HTTP_REFERER')
if referer != self.allowed_referer:
return HttpResponseForbidden("You are not allowed to access this resource.")
response = self.get_response(request)
return response- 注册中间件:
在
settings.py文件中将你的中间件添加到MIDDLEWARE列表中。
# settings.py
MIDDLEWARE = [
# ... 其他中间件 ...
'your_project.middleware.AllowOnlySpecificRefererMiddleware',
]- 测试中间件:
启动你的Django服务器,并尝试从不同的来源访问你的API。只有当
Referer头匹配allowed_referer时,请求才会被允许。
注意事项
- 安全性:
Referer头可以被伪造,因此这不是一个完全安全的解决方案。对于更高安全级别的需求,应该考虑使用API密钥、OAuth或其他认证机制。 - 兼容性:有些浏览器或客户端可能不会发送
Referer头,或者在某些跨域请求中可能不会包含完整的Referer信息。
通过上述步骤,你可以有效地限制只有特定来源的请求才能访问你的Django REST框架提供的API。如果你需要更复杂的访问控制策略,可能需要结合其他安全措施,如认证和授权机制。
相关·内容
我试图阻止通过邮递员或失眠向我的应用程序发送post请求的可能性。我希望将请求的来源限制为一个域www.sample.com。我确实在ALLOWED_HOSTS和CORS_ORIGIN_WHITELIST中添加了这个域,没有其他内容,我仍然可以发送请求并将数据保存在我的django应用程序中。如何将请求
浏览 11提问于2020-06-09得票数 1
我有一个用Laravel编写的API作为后端,我也有一个前端应用程序(React)和移动应用程序(Android)来使用API。如何将我的API限制为仅限前端和移动客户端,并阻止来自其他来源的请求,如邮递员或失眠?
浏览 12提问于2020-03-13得票数 0
1回答
我想阻止来自未知来源的对我的Django REST API (www.backend_django.com)的调用,例如,我在域"www.example.com“下有一个网站,我想只允许这个网站能够对我的API进行请求。',] 为了测试它,我
浏览 19提问于2019-10-12得票数 0
回答已采纳
10回答
我用Django做了一个应用程序,我知道Django Rest Framework是用来构建API的。然而,当我开始在他们的网站上读到Django Rest Framework时,我注意到中的每一件事(比如请求、响应、视图等)。声称它优于Django (请求、响应、视图等)。我不明白的是,这些API是否会取代我
浏览 0提问于2018-03-05得票数 90
我正在运行一个DJango应用程序,它是在服务器负载达到一定水平时设置为多个实例的。Django应用程序被用作REST (DRF),我安装了django-cors-headers 应用程序来处理来自Ionic应用程序的请求。请求是通过Angular2 2的http框架提出的,该框架提供飞行前<
浏览 0提问于2018-02-09得票数 1
回答已采纳
我是django rest框架的初学者(也是一般的REST ),我有一个服务器端(目前)有一个UserViewSet,它允许注册新用户,我可以从我的安卓应用程序上传到url (我创建了201个)。我读了很多关于它的文章,但我似乎并不完全理解REST框架中的登录和身份验证的概念,特别是django res
浏览 2提问于2015-05-30得票数 1
回答已采纳
1回答
我现在被Django的POST请求卡住了。我正在尝试从智能手机或Postman (不是表单)等外部应用程序向rest框架发送POST请求。Get请求工作得很好。
我看了很多帖子,但都不能解决我的问题。我尝试使用request.body,但总是得到一个空响应。我使用print(response.body)将输出打印到控制台,结果只得到b'‘结果。return Response({"id":
浏览 0提问于2018-11-27得票数 1
回答已采纳
我已经在Django REST框架中开发了一些API函数,现在我想开发一些客户端表单/ API调用来匹配。好的,在输入命令后,REST在本地可用:我将一些HTML和JavaScript / jquery.rest放在一起,这样客户端就可以调用一个(授权拒绝了请求,但错误如下:
跨源请求被阻止:相同的原产地策略不允许在上读取
浏览 9提问于2016-03-03得票数 1
回答已采纳
1回答
我正在尝试集成微软图形认证和访问sharepoint和用户的图形配置文件& Pic。我跟踪了他们的文档},
error:
浏览 7提问于2017-04-28得票数 2
回答已采纳
1回答
我在Django后端公开了API。我想从Angular 7获得API请求。8000/myapp/posts') .subscribe( (data:any[]) => { console.log(data) } )
但我发现一个错误HttpErrorResponse"ok: falsestatus: 0statusText: "Unknown Error"url: null__proto__: HttpResponseB
浏览 2提问于2018-11-14得票数 0
回答已采纳
这更多的是一个过程逻辑问题,而不是一个特定的语言框架问题。我正在开发一个移动应用程序,并希望用户能够使用它而不必登录(即尝试它,并提供一个加号给登录的用户),但我不希望其他人从邮递员或任何其他平台的post请求,而不是应用程序没有某种密钥,那么这里的方法是什么我正在考虑使用一些秘密用户名的基本身份验证:访客<e
浏览 2提问于2017-06-18得票数 0
回答已采纳
我们在GCP实例上有一个React + Django应用程序,并且我们在通过REST获取数据时面临一个CORS错误。我们已经在Django应用程序中安装和配置了django Rest框架的CORS包:ALLOWED_HOSTS = [ 'yyyyyyyyyyyy.appspot.comxxxx
浏览 1提问于2022-11-03得票数 0
回答已采纳
我最近被要求在一个新的应用程序的前端工作,这个应用程序将用Django编写作为后端(他们说这将是为iOS编写的)。尽管我有使用前端的经验,但我从未为iOS或Django REST API编写过任何代码。有什么不同?是html/css吗?换句话说,让我们假设某人在Django中有一个代码,它向用户询问一个问题并存储答案。响应将是JSON(我认为)。他想让我
浏览 8提问于2016-07-16得票数 0
使用django-rest-framework。在nginx之后的生产环境中运行时,我得到了HTTP403错误。如果我使用Django dev服务器或gunicorn运行,并直接访问端口,我就很好,并且可以很高兴地匿名访问URL。如果我把nginx放在前面,转到同一个gunicorn/runserver,我会得到这个错误。
也许这与我的nginx proxy_pass设置有关?django rest框架2.
浏览 7提问于2013-04-12得票数 7
回答已采纳
我使用Django REST框架创建了一个Web API,并尝试在AngularJS web应用程序中利用它提供的所有功能。我的Django REST api从HTTP选项请求中提供了大量数据(例如,必填字段、通过超链接从何处获取连接数据等)。我想在Angular应用程序中利用这一点。然而,AngularJS的$http服务似乎不支持原生Opti
浏览 1提问于2013-06-29得票数 2
回答已采纳
2回答
Django redis作通知
、、、、
我已经用Django REST框架构建了一个REST 。在应用程序中,需要facebook类型的通知(新朋友请求、新消息等)。目前,我正在使用长轮询来处理这个问题:
我的REST视图搜索新对象并立即返回它们(如果有对象),否则它搜索20秒,如果没有对象返回空响应。接收响应后立即发送新的GET请求(来自前端客户端)
浏览 1提问于2018-06-20得票数 1
回答已采纳
我使用Django用户模型作为Django rest框架。为此,我使用Django的ModelViewSet作为我的用户类。,我使用一个用户的令牌查看、删除、编辑其他用户。我不希望这种情况发生,只有一个用户可以对自己提出请求,这就是我想要的。这是我的应用程序urls.pyfrom django.urls imp
浏览 13提问于2021-10-21得票数 1
回答已采纳
我有一个Django应用程序,其中的视图是使用Django的通用视图编写的(预先修复,不能从Django rest框架更改为APIView )。每个API响应POST、PUT或GET请求。现在我想要响应其他请求类型的自定义消息(DELETE、GET...等)用于每个API。目前,Django发送默认的405错误
浏览 0提问于2021-05-03得票数 0
云服务器
ICP备案
云直播
对象存储
实时音视频
腾讯云开发者
