主要内容:https://www.cnblogs.com/maple-shaw/articles/9524153.html
1 csrf中间件: csrf跨站请求伪造
a : crsf的两个静态方法:
csrf_exempt : 给单个视图排除校验
csrf_protect: 给单个视图必须校验
from django.views.decorators.csrf import csrf_exempt, csrf_protect
# 可以通过csrf校验, 不注销csrf插件的情况下
# @csrf_exempt
# def login(request):
# return render(request, 'login.html')
# 给csrf设置了一层安全保证, 不允许通过
@csrf_protect
def login(request):
return render(request, 'login.html')
b : csrf的请求流程:
从process_request方法: 从请求的cookie中获取csrf_token ——》csrf_token ——》request.META['CSRF_COOKIE']
从process_view方法:
1: 如果视图函数加上了csrf_exempt的装饰器,则不做校验
2 : 如果请求方式是'GET', 'HEAD', 'OPTIONS', 'TRACE' 也不做校验
3 : 其他的方式做校验:
request.META.get('CSRF_COOKIE') —— 》 csrf_token
request_csrf_token = ''
# 从request.POST中获取csrfmiddlewaretoken对应的值
request_csrf_token = request.POST.get('csrfmiddlewaretoken', '')
# 从请求头中获取X-csrftoken 的值
request_csrf_token = request.META.get(settings.CSRF_HEADER_NAME, '')
request_csrf_token 和 csrf_token 做对比
如果校验成功 正常走
如果校验不成功 拒绝
2 浏览器向服务器发请求的方式
a : 地址栏上输入地址 回车, get请求
b : form表单提交数据, 点击submit, post请求
c : a标签
d : ajax
3 JSON内容的复习:
在JavaScript中: 关于json对象和字符串转换的两个方法:
JSON.parse(): 用于将一个json字符串转为JavaScript对象
JSON.stringify(): 用于将JavaScript的值转换为json字符串
4 ajax : 一个与服务器进行交互的技术
a : 简介: 异步的JavaScript和XML, 即使用JavaScript语言与服务器进行异步交互, 传输的数据为XML,(也不只是xml), 不是一种新的编程语言, 而是一种使用现有的标准的新方法.
b : 优点
1 : 最大的优点是在不重新加载整个页面的情况下,可以与服务器交换数据并更新部分网页内容。(这一特点给用户的感受是在不知不觉中完成请求和响应过程)
2 : 异步交互:客户端发出一个请求后,无需等待服务器响应结束,就可以发出第二个请求
总结:
AJAX使用JavaScript技术向服务器发送异步请求;
AJAX请求无须刷新整个页面;
因为服务器响应内容不再是整个页面,而是页面中的部分内容,所以AJAX性能高;
c : 实例: 页面输入两个整数, 通过ajax传输到后端进行计算出结果,返回.
url中的代码:
urlpatterns = [
url(r'^admin/', admin.site.urls),
url(r'^index/', views.index),
url(r'^calc/', views.calc),
url(r'^calcs/', views.calcs),
]
views中的代码:
from django.shortcuts import render, HttpResponse
def index(request):
i1, i2, i3 = '', '', ''
if request.method == 'POST':
i1 = int(request.POST.get('i1'))
i2 = int(request.POST.get('i2'))
i3 = i1 + i2
return render(request, 'index.html', {'i1':i1, 'i2': i2, 'i3': i3})
import time
def calc(request):
print(request.POST)
i1 = int(request.POST.get('i1'))
i2 = int(request.POST.get('i2'))
i3 = i1 + i2
time.sleep(5)
return HttpResponse(i3)
def calcs(request):
i1 = request.POST.get('i1')
i2 = request.POST.get('i2')
i3 = i1 + i2
return HttpResponse(i3)
html中的代码
<body>
<input type="text" name="i1">+
<input type="text" name="i2" >=
<input type="text" name="i3">
<button id="b1">计算</button>
<hr>
<input type="text" name="ii1">+
<input type="text" name="ii2" >=
<input type="text" name="ii3">
<button id="b2">计算</button>
<script src="/static/jquery-3.3.1.min.js"></script>
<script>
$('#b1').click(function () {
$.ajax({
url:'/calc/',
type:'post',
data:{
i1 : $('[name="i1"]').val(),
i2 : $('[name="i2"]').val(),
},
success:function (ret) {
console.log(ret);
$('[name="i3"]').val(ret)
}
})
});
$('#b2').click(function () {
$.ajax({
url:'/calcs/',
type:'post',
data:{
i1 : $('[name="ii1"]').val(),
i2 : $('[name="ii2"]').val(),
},
success:function (ret) {
console.log(ret);
$('[name="ii3"]').val(ret)
}
})
});
</script>
</body>
</html>
d : ajax发post请求, 通过csrf验证的三种方法:
1: 页面中使用{% csrf_token%}
$('#b1').click(function () {
$.ajax({
url: '/csrf_test/',
type: 'post',
data: {
csrfmiddlewaretoken: $('[name="csrfmiddlewaretoken"]').val(), # **********
name: 'alex',
age: '73',
},
success: function (res) {
console.log(res);
}
})
});
2 : 通过获取返回的cookie中的字符串 放置在请求头中发送。
$('#b1').click(function () {
$.ajax({
url: '/csrf_test/',
type: 'post',
headers: {"X-CSRFToken": $('[name="csrfmiddlewaretoken"]').val()},
data: {
name: 'alex',
age: '73',
},
success: function (res) {
console.log(res);
}
})
});
结论 : 由于每一次都这么写太麻烦了,可以使用$.ajaxSetup()方法为ajax请求统一设置。
3 全局设置:
注意: 使用$.ajaxSetup()方法为ajax请求统一设置. 此时需要建一个js文件, 把下面的代码粘进去就可以.
function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !== '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = jQuery.trim(cookies[i]); // Does this cookie string begin with the name we want? if (cookie.substring(0, name.length + 1) === (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } var csrftoken = getCookie('csrftoken');
function csrfSafeMethod(method) { // these HTTP methods do not require CSRF protection return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method)); } $.ajaxSetup({ beforeSend: function (xhr, settings) { if (!csrfSafeMethod(settings.type) && !this.crossDomain) { xhr.setRequestHeader("X-CSRFToken", csrftoken); } } });
从cookie中取值, 必须有cookie
有cookie的两种方式:
1 使用{%csrf_token%};
2 from django.views.decorators.csrf import ensure_csrf_cookie
这个时候需要使用ensure_csrf_cookie()装饰器强制设置Cookie。
$('#b2').click(function () {
$.ajax({
url: '/csrf_test/',
type: 'post',
data: {},
success: function (res) {
console.log(res);
}
})
});
4 三种方法的views的代码:
from django.views.decorators.csrf import ensure_csrf_cookie
@ensure_csrf_cookie
def csrf_test(request):
if request.method == 'POST':
print(request.POST)
return HttpResponse('测试成功')
return render(request, 'csrf_test.html')
5 利用ajax实现文件上传
FormData对象: 可以把所有表单元素的name与value组成一个queryString,提交到后台。 在使用ajax提交时,使用FormData对象可以减少拼接queryString的工作量
创建一个FormData空对象,然后使用append方法添加key/value:
formData.append('f1', $('#f1')[0].files[0]); # 由于jquery获取的对象是列表形式, 取出索引获取一个dom对象, .files获取文件列表, 取索引获取该文件
文件上传操作的代码:
<body>
{% csrf_token %}
<input type="file" id="f1">
<button type="button" id="b1">上传</button>
<script src="/static/jquery-3.3.1.min.js"></script>
<script>
$('#b1').click(function () {
var formData = new FormData();
formData.append('csrfmiddlewaretoken',$('[name="csrfmiddlewaretoken"]').val());
{#FormData添加文件类型数据#}
formData.append('f1', $('#f1')[0].files[0]);
$.ajax({
url:'/upload/',
type:'post',
data:formData,
processData:false,
contentType:false,
success:function (ret) {
console.log(ret)
}
})
})
</script>
views的内容:
def upload(request):
if request.method == 'POST':
print(request.FILES)
fileobj = request.FILES.get('f1')
with open(fileobj.name, mode='wb') as f: fileobj有name属性.
# chunks一点一点的读
for i in fileobj.chunks():
f.write(i)
return HttpResponse('ok')
return render(request, 'upload.html')
6 注册: 涉及到的内容, jquery绑定事件, ajax中没有$(this)方法
html中的内容:
<body>
<input type="text" id="t1" name="user"><span id="s1" style="color:red;"></span>
{#<button id="b1">注册</button>#}
<script src="/static/jquery-3.3.1.min.js"></script>
<script>
$('#t1').blur(function () {
{#console.log($(this));#}
_this = $(this);
{#由于ajax中没有$(this)这个方法,所以设置了一个全局变量#}
$.ajax({
url:'/reg/',
type:'post',
data:{
user:$('#t1').val()
},
success:function (res) {
console.log(res);
{#$('#s1').text(res)#}
_this.next().text(res)
}
})
}).focus(function () {
_this.next().text('')
})
</script>
views中的代码:
def reg(request):
if request.method == 'POST':
print(request.POST)
user = request.POST.get('user')
# 从数据库中找到对象
obj = models.User.objects.filter(user=user).first()
if obj:
return HttpResponse('该用户名已存在')
else:
return HttpResponse('该用户名可以使用')
return render(request, 'reg.html')
7 登录: 涉及到的内容 location.href = ''
html中的代码:
<body>
<input type="text" name="user" id="t1">
<input type="password" name="pwd" id="p1">
<button id="b1">登录</button>
<script src="/static/jquery-3.3.1.min.js"></script>
<script>
$('#b1').click(function () {
$.ajax({
url:'/login/',
type:'post',
data: {
user: $('#t1').val(),
pwd: $('#p1').val()
},
success: function (res) {
console.log(res);
if(res.status == '0'){
location.href = res.url
}
else{
alert(res.msg)}}
})
})
</script>
</body>
views中的代码:
# 登录
from django.http import JsonResponse
def login(request):
# 从ajax中的post方法中提交的数据中取出user和pwd
if request.method == 'POST':
ret = {'status': '0', 'msg': ''}
user = request.POST.get('user')
pwd = request.POST.get('pwd')
# 数据库中找到对应的对象:
obj = models.User.objects.filter(user=user, pwd=pwd)
if obj:
ret['url'] = '/upload/'
return JsonResponse(ret)
# 如果该对象存在, 返回登录成功
else:
ret['status'] = '1'
ret['msg'] = '用户名或者是密码错误'
return JsonResponse(ret)
# 如果不存在, 返回用户名或者是密码错误.
return render(request, 'login.html')