中间键 csrf跨站请求伪造 装饰器相关 auth模块
1.中间键 2.csrf跨站请求伪造 3.装饰器相关 4.auth模块 5.settings 插拔式源码 拓展
1.中间键
中间件:(默认有七个)通俗讲:django中间件类似于django的保安,来去都经过他;大致流程:请求来时先经过中件才能到达django后端(urls,views,templates,models),响应走时也要经过中间件才能到达web网关接口作用:1.网站全局的身份校验,访问频率限制,权限校验.....涉及全局,都可用到2. django的中间件是所有web框架中做的最好的django中间件中的五个自定义方法*****1.process_request()规律: 1.请求来时,自上而下依次执行每个中间件里的process_request的方法;2.如果这个方法里直接返回了HttpResponse对象,那么会直接返回,不再往下执行;应用场景:访问频率限制,身份校验2.prosess_response()规律:1.必须将形参response返回, 该形参是返回前端的数据2.响应走时会自下而上的执行每一个中间件中的process_response方法**3.process_view(): 在url匹配成功之后,视图函数之前 触发4.process_exception(): 视图函授出错之后触发,自行执行 5.process_template_response():规律:1.返回的HttpResponse对象中必须包含render属性才会触发,如下例:def login(request):print('我是谁?我从哪里来?')def render():return HttpResponse('6666')OBJ= HttpResponse('我要到那里去?')OBJ.render = renderreturn OBJ注:1.写中间件中时,只要有response这个形参,那就返回response(给前端的信息)2.要想自己写的中间件生效,必须先继承MiddlewareMiXin3.注册中间件时,路径不要写错
2.csrf跨站请求伪造
csrf跨站请求伪造: 钓鱼网站: 制造一个更正常网站一模一样的网站,骗取用户输入信息,eg转账交易..钓鱼原理: 在用户输入对方账户的input框中做些改动;比如这个input框 不设置name属性,然后在内部隐藏那个一个已经写好有 name,value属性的input框预防思路:给用户的form表单 中 放一个每次永远不会重复的随机字符串作为唯一标识,验证通过再进行其他操作,未通过,返回一个403随机字符串特点:1.同一个浏览器每一次访问都不一样2.不同浏览器 绝对不会重复1. form表单发送 post请求时, 需要{% csrf_token %}2. ajax 发送post请求,避免csrf校验的方法首先:{% csrf_token %}其次:1.利用标签查找获取该input框的键值信息{'username':'xxx','csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()}2.直接写{'username':'xxx','csrfmiddlewaretoken':'{{csrf_token}}'}3.将获取随机键值对的方法弄到js文件中,用时导进去相关代码:function getCookie(name) {var cookieValue = null;if (document.cookie && document.cookie !== '') {var cookies = document.cookie.split(';');for (var i = 0; i < cookies.length; i++) {var cookie = jQuery.trim(cookies[i]);// Does this cookie string begin with the name we want?if (cookie.substring(0, name.length + 1) === (name + '=')) {cookieValue = decodeURIComponent(cookie.substring(name.length + 1));break;}}}return cookieValue;}var csrftoken = getCookie('csrftoken');function csrfSafeMethod(method) {// these HTTP methods do not require CSRF protectionreturn (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));}$.ajaxSetup({beforeSend: function (xhr, settings) {if (!csrfSafeMethod(settings.type) && !this.crossDomain) {xhr.setRequestHeader("X-CSRFToken", csrftoken);}}});
3.装饰器相关
1 装饰器相关: 2 1.全局不校验csrf,有几个让校验 csrf_frotect 3 2.全局校验csrf,有几个不让校验 csrf_exempt 4 form django.utils.decorators import method_decorator 5 form django.views.decorators.csrf import csrf_exempt(不校验),csrf_frotect(校验) 6 给fbv装饰时正常,给cbv装饰时有以下两种情况发生 7 1.csrf_frotect 的 三种装饰方式 8 # 第一种方式 9 # @method_decorator(csrf_protect,name='post') # 有效的 10 class MyView(View): 11 # 第三种方式 12 # @method_decorator(csrf_protect) 13 def dispatch(self, request, *args, **kwargs): 14 res = super().dispatch(request, *args, **kwargs) 15 return res 16 17 def get(self,request): 18 return HttpResponse('get') 19 # 第二种方式 20 # @method_decorator(csrf_protect) # 有效的 21 def post(self,request): 22 return HttpResponse('post') 23 24 注: 三种方法可随意用其中的一种 25 2.csrf_exempt的两种装饰方式(只能给dispatch装) 特例 26 @method_decorator(csrf_exempt,name='dispatch') # 第二种可以不校验的方式 27 class MyView(View): 28 # @method_decorator(csrf_exempt) # 第一种可以不校验的方式 29 def dispatch(self, request, *args, **kwargs): 30 res = super().dispatch(request, *args, **kwargs) 31 return res 32 33 def get(self,request): 34 return HttpResponse('get') 35 36 def post(self,request): 37 return HttpResponse('post') 38 小结:装饰器中只要csrf_exemp是特例,其他给cbv装饰时都有三种方式
4.auth模块
auth模块:要用就用全套相关简介: 1.是一个跟用户相关的功能模块,用于 用户的注册,登录,改密码;2.执行数据库迁移命令后,会生成很多表, auth_user是跟用户相关的表;3.用 createsuperuser 创建超级用户后,该用户可登录django admin后台管理权限功能功能:1.查询用户from django.contrib import authuser_obj = auth.authenticate(username=username,password=password)注:必须要用该方法,因为数据库中的密码是密文的,而你获取的输入却是明文的,不用该方法的话,永远也匹配不上2.记录用户状态到session中auth.login(request,user_obj)3.判断用户是否登录request.user.is_authenticated 返回T/F4.获取用户对象request.user注:登录了获取到用户对象,没登录可以拿到匿名对象5.校验用户是否登录form django.contrib.auth.decorators import login_required1.局部配置:@login_required(login_url='/xxx/') 2.全局配置 在setting送文件中LOGIN_URL = '/xxx/'6.验证密码是否正确request.user.check_password(old_opassword)7.修改密码request.user.set_password(new_password)request.user.save()注: 修改密码,一定要save保存,否则无法生效8.退出登录auth.logout(request) 效果相当于 request.session.flush()9.注册用户超级用户的创建:User.objects.create_superuser(username=username,password=password,email='123@qq.com')普通用户的创建:User.objects.create_user(username=username,password=password)自定义auth_user表:使用类继承from django.contrib.auth.models import AbstractUserclass Userinfo(AbstractUser):phon = models.BigIntegerField()avatar = models.CharField(max_length=32)注:1.自定义表只能添加新的字段,但是不要与原表中的字段重复(*****)2.要在 配置文件中 设置 orm将要使用的表,而不是原来的默认表AUTH_USER_MODEL = 'app01.Userinfo' # '应用名.类名'3.执行数据库迁移命令后,auth提供的功能还可以照样去用
5.settings 插拔式源码 拓展
__init__.py文件中import settings import importlibdef send_all(content):for path_str in settings.NOTIFY_LIST: # 1.拿出一个个的字符串 'notify.email.Email'module_path,class_name = path_str.rsplit('.',maxsplit=1) # 2.从右边开始 按照点切一个 ['notify.email','Email']module = importlib.import_module(module_path) # from notity import msg,email,wechatcls = getattr(module,class_name) # 利用反射 一切皆对象的思想 从文件中获取属性或者方法 cls = 一个个的类名obj = cls() # 类实例化生成对象obj.send(content) # 对象调方法
settings.py文件NOTIFY_LIST = ['notify.email.Email','notify.msg.Msg','notify.wechat.WeChat','notify.qq.QQ', ]
功能相关class Email(object):def __init__(self):pass # 发送邮件需要的代码配置def send(self,content):print('邮件通知:%s'%content)class Msg(object):def __init__(self):pass # 发送短信需要的代码配置def send(self,content):print('短信通知:%s' % content)class QQ(object):def __init__(self):pass # 发送qq需要的代码准备def send(self,content):print('qq通知:%s'%content)class WeChat(object):def __init__(self):pass # 发送微信需要的代码配置def send(self,content):print('微信通知:%s'%content) ...
View Code
start.py 文件import notify notify.send_all('国庆放假了 记住放八天哦')
转载于:https://www.cnblogs.com/wyf20190411-/p/11588174.html
中间键 csrf跨站请求伪造 装饰器相关 auth模块相关推荐
- csrf跨站请求伪造,CBV添加装饰器,auth认证模块,基于django中间件设计项目功能
文章目录 csrf跨站请求伪造 csrf的定义 csrf的分类 csrf的攻击过程 csrf的攻击条件 举例说明 Django提供的解决策略 csrf相关装饰器 FBV CBV 方法一(直接在类中的某 ...
- 8中间件,csrf跨站请求伪造,auth模块
昨日内容回顾 多对多三种创建方式 1.全自动 完全依赖于ManyToMany让django orm自动创建第三张表 优势:不需要你创建第三张表 自动创建 不足:第三张表扩展性 ...
- python 全栈开发,Day87(ajax登录示例,CSRF跨站请求伪造,Django的中间件,自定义分页)...
python 全栈开发,Day87(ajax登录示例,CSRF跨站请求伪造,Django的中间件,自定义分页) 一.ajax登录示例 新建项目login_ajax 修改urls.py,增加路径 fro ...
- Web框架之Django_09 重要组件(Django中间件、csrf跨站请求伪造)
摘要 Django中间件 csrf跨站请求伪造 一.Django中间件: 什么是中间件? 官方的说法:中间件是一个用来处理Django的请求和响应的框架级别的钩子.它是一个轻量.低级别的插件系统,用于 ...
- XSS跨站脚本攻击与CSRF跨站请求伪造攻击的学习总结。
之前就了解过这方面的知识,但是没有系统地总结.今天在这总结一下,也让自己在接下来的面试有个清晰的概念. XSS跨站脚本攻击: xss 跨站脚本攻击(Cross Site Scripting),为了不和 ...
- XSS跨站脚本攻击与CSRF跨站请求伪造攻击的学习总结
转载:https://blog.csdn.net/baidu_24024601/article/details/51957270 XSS跨站脚本攻击与CSRF跨站请求伪造攻击的学习总结. <di ...
- CSRF 跨站请求伪造 为什么b网站请求a网站的地址能带上a网站的cookie
知道csrf后的问题:CSRF 跨站请求伪造 为什么b网站请求a网站的地址能带上a网站的cookie 答:script.image.iframe的src都不受同源策略的影响.
- CSRF 跨站请求伪造攻击
1.概念 全称是CSRF 跨站请求伪造攻击,攻击者利用用户已登陆的账号,诱导用户访问已构造好的恶意链接或页面,在用户不之情的情况下,做一些违反用户本意的一些违法操作. 同源策略:协议相同,域名相同,端 ...
- CSRF跨站请求伪造 | 总结记录
CSRF跨站请求伪造 CSRF通常会配合XSS. 服务端错把浏览器发起的请求当成用户发起的请求,会造成XSS问题. 产生原因: 1.同上. 2.已登录的浏览器打开恶意网址后执行了相应操作. 一些概念 ...
- 浏览器安全之CSRF跨站请求伪造
基本概念 跨站请求伪造(Cross-site request forgery)简称CSRF,尽管与跨站脚本漏洞名称相近,但它与跨站脚本漏洞不同.XSS利用站点内的信任用户,而CSRF则通过伪装来自受信 ...
最新文章
- HighNewTech之QAB:重新温读张首晟教授2018年8月演讲PPT《量子计算, 人工智能与区块链》
- Jedis与Redisson选型对比
- Mybatis源码阅读(三):结果集映射3.3 —— 主键生成策略
- Swift实践:使用CoreData存储多种数据类的通讯录
- 安卓自定义控件之设计自己的提示dialog
- 如何使用windows自带的远程协助
- PC电脑桌面监控:Xbox Game Bar
- 逻辑智力测试-----让你怀疑人生!!
- 原生JS事件绑定的三种方式
- c语言编程彩票中奖30选7,中国福利彩票30选7(七乐彩)中奖号码表
- uniapp添加蒙版的时候怎么禁止页面滚动
- python不是内部文件别太任性_Python一笑很倾城
- 《NTC电阻在充电中的应用》
- 京东口罩到货,邮件实时通知
- 2020款别克君越评价,享受尊而不贵的奢华
- vue实现全选和反选
- nyoj106背包问题为模板解出杭电oj2187悼念512汶川大地震遇难同胞——老人是真饿了
- Android 多线程实现方式
- 单片机如何获得5V电源
- 抱米花-豆丁文档下载器 docin20090818