zoukankan      html  css  js  c++  java
  • Django框架(十二)-- 中间件、CSRF跨站请求伪造

    中间件

    一、什么是中间件

    请求的时候需要先经过中间件才能到达django后端(urls,views,templates,models)

    响应的时候也需要经过中间件才能到达web服务网关接口

     django默认的七个中间件

    MIDDLEWARE = [
                                        
                 'django.middleware.security.SecurityMiddleware',
                                     
                 'django.contrib.sessions.middleware.SessionMiddleware',
                                     
                 'django.middleware.common.CommonMiddleware',
                                     
                 'django.middleware.csrf.CsrfViewMiddleware',
                                     
                 'django.contrib.auth.middleware.AuthenticationMiddleware',
                                     
                 'django.contrib.messages.middleware.MessageMiddleware',
                                     
                 'django.middleware.clickjacking.XFrameOptionsMiddleware',
        ]    

    二、django中间件作用(********)

    1.网站全局的身份校验,访问频率限制,权限校验。。。只要是涉及到全局的校验你都可以在中间件完成

    2.django的中间件是所有web框架中做的最好的

    三、中间件执行顺序

    -process_request()方法,从上往下执行
            1.如果返回 HttpResponse对象,那么会直接返回,不再往下执行而是跳到同级别的process_response方法,直接往回走
            2.请求来的时候,会经过每个中间件里面的process_request方法(从上往下)
    -process_response,从下往上执行
            1.必须要将response形参返回,这个形参指代的就是要返回给前端的数据
            2.响应走的时候,会依次经过每一个中间件里面的process_response方法(从下往上)

     

     

     

     四、自定义中间件

    1.导包

    from django.utils.deprecation import MiddlewareMixin

    2.定义类,继承MiddlewareMixin

    在app01应用中创建一个文件夹mymiddleware,再创建一个mdd.py文件

    class MyMdd(MiddlewareMixin):
        def process_request(self,request):
            print('我是第一个中间件里面的process_request方法')
    
        def process_response(self,request,response):
            print('我是第一个中间件里面的process_response方法')
            return responseclass MyMdd1(MiddlewareMixin):
        def process_request(self,request):
            print('我是第二个中间件里面的process_request方法')
    
        def process_response(self,request,response):
            print('我是第二个中间件里面的process_response方法')
            return response

    3.定义视图函数

    def index(request):
        print("view函数...")
        return HttpResponse("OK")

    4.在settings中MIDDLEWARE注册自定义中间件

    MIDDLEWARE =[
         'mymiddleware.mdd.MyMdd',
         'mymiddleware.mdd.MyMdd1',
         'mymiddleware.mdd.MyMdd2',
    
    ]

    5.设置路由

    urlpatterns = [
        url(r'^index/',view.index)
    
    ]

    结果

    我是第一个中间件里面的process_request方法
    我是第二个中间件里面的process_request方法
    view函数...
    我是第二个中间件里面的process_response方法
    我是第一个中间件里面的process_response方法

    五、中间件五个可以自定义的方法

    需要掌握的方法:

    1.process_request()方法    请求来的时候会走该方法

    1.请求来的时候 会经过每个中间件里面的process_request方法(从上往下)
    2.如果方法里面直接返回了HttpResponse对象 那么会直接返回 不再往下执行
        基于该特点就可以做访问频率限制,身份校验,权限校验

    2.process_response()方法   响应回去的时候会走该方法

    1.必须将response形参返回 因为这个形参指代的就是要返回给前端的数据
    2.响应走的时候 会依次经过每一个中间件里面的process_response方法(从下往上)

    需要了解的方法:

    3.process_view()

    在路由匹配成功执行视图函数之前 触发

    4.process_exception()

    当你的视图函数报错时,就会自动执行

    5.process_template_response()

    当你返回的HttpResponse对象中必须包含render属性才会触发
    def index(request):
        print('我是index视图函数')
        def render():
            return HttpResponse('什么鬼玩意')
        obj = HttpResponse('index')
        obj.render = render
        return obj

    总结:

    你在书写中间件的时候,只要形参中有response,你就应该顺手将其返回,这个response就是要给前端的信息。
    
    这五种方法有哪些特点:
    1.都需要继承MiddlewareMixin
    2.在注册中间件的时候,在settings中写的路径不能错

    CSRF——跨站请求伪造

    1.什么是CSRF攻击

    攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的。

    比如钓鱼网站

    2.CSRF攻击原理

    要完成一次CSRF攻击,受害者必须依次完成两个步骤:

      1.登录受信任网站A,并在本地生成Cookie。

      2.在不登出A的情况下,访问危险网站B。

    钓鱼网站例子

    通过制作一个跟正儿八经的网站一模一样的页面,骗取用户输入信息 转账交易从而做手脚
    转账交易的请求确确实实是发给了中国银行,账户的钱也是确确实实少了
    唯一不一样的地方在于收款人账户不对
    内部原理
        在让用户输入对方账户的那个input上面做手脚
        给这个input不设置name属性,在内部隐藏一个实现写好的name和value属性的input框
        这个value的值 就是钓鱼网站受益人账号

    如何区分钓鱼网站和正经网站?在正经网站返回页面的时候,在form表单中偷偷塞一个特殊的字符串,后端记下该页面对应的字符串的值,等用户发post请求来的时候,我先去校验特殊的字符串是否匹配

    如何去写这个特殊的字符串呢?模版语法有一个固定的写法{% csrf_token %},必须写在form表单内

    3.CSRF攻击防范

    防止钓鱼网站的思路
        网站会给用户访问的form表单页面 偷偷塞一个随机字符串
        请求到来的时候 会先比对随机字符串是否一致  如果不一致  直接拒绝(403)

    该随机字符串有以下特点
      1.同一个浏览器每一次访问都不一样
      2.不同浏览器绝对不会重复

    4.CSRF在Django中的应用

    1.在form表单中使用

    <form action="" method="post">
        {% csrf_token %}
        <p>username:<input type="text" name="username"></p>
        <p>password:<input type="text" name="password"></p>
        <input type="submit">
    </form>

    2.在ajax中使用,如何避免csrf校验

    • 有两种方法,通过修改ajax的data

      方法一:先在form表单页面上写{% csrf_token%},利用标签查找,获取到该input键值消息

    data{'username':'jason','csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()}

      方法二:直接书写'{{csrf_token}}'

    data:{'username':'jason','csrfmiddlewaretoken':'{{ csrf_token }}'}
    • 还可以将获取随机键值对的方法,写到一个js文件中,然后导入这个文件即可

      新建一个js文件,存放以下代码

    function getCookie(name) {
        var cookieValue = null;
        if (document.cookie && document.cookie !== '') {
            var cookies = document.cookie.split(';');
            for (var i = 0; i < cookies.length; i++) {
                var cookie = jQuery.trim(cookies[i]);
                 // Does this cookie string begin with the name we want?
                 if (cookie.substring(0, name.length + 1) === (name + '=')) {
                     cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                     break;
                 }
            }
         }
         return cookieValue;
    }
    var csrftoken = getCookie('csrftoken');
    
    
    function csrfSafeMethod(method) {
       // these HTTP methods do not require CSRF protection
       return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
     }
    
    $.ajaxSetup({
         beforeSend: function (xhr, settings) {
           if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
                xhr.setRequestHeader("X-CSRFToken", csrftoken);
             }
         }
     });

    5.CSRF禁用

    1.CSRF全局禁用

    注释掉settings中MIDDLEWARE的中间件 'django.middleware.csrf.CsrfViewMiddleware',

    2.CSRF局部禁用

    • 在FBV中,直接加载FBV就行了 (在页面不加csrf_token情况下)
    from django.views.decorators.csrf import csrf_exempt,csrf_protect
    #(前提是全局使用,没有注释csrf) 让这个不用校验,可以局部使用
    #当你网站全局需要校验csrf的时候,有几个不需要校验该如何处理 @csrf_exempt
    def login(request): return HttpResponse('login') #(前提是全局禁用,注释csrf,不会进行校验) 设置就会进行校验,局部禁用
    #当你网站全局不校验csrf的时候,有几个需要校验又该如何处理 @csrf_protect
    def lll(request): return HttpResponse('lll')
    • 在CBV中,只能在dispatch方法或者类上面
    from django.views import View
    from django.views.decorators.csrf import csrf_exempt,csrf_protect
    from django.utils.decorators import method_decorator
    # 这两个装饰器在给CBV装饰的时候 有一定的区别
    如果是csrf_protect 那么有三种方式
        # 第一种方式
        # @method_decorator(csrf_protect,name='post')  # 有效的
        class MyView(View):
            # 第三种方式
            # @method_decorator(csrf_protect)
            def dispatch(self, request, *args, **kwargs):
                res = super().dispatch(request, *args, **kwargs)
                return res
    
            def get(self,request):
                return HttpResponse('get')
            # 第二种方式
            # @method_decorator(csrf_protect)  # 有效的
            def post(self,request):
                return HttpResponse('post')
    如果是csrf_exempt 只有两种(只能给dispatch装) 特例 @method_decorator(csrf_exempt,name
    ='dispatch') # 第二种可以不校验的方式 class MyView(View): # @method_decorator(csrf_exempt) # 第一种可以不校验的方式 def dispatch(self, request, *args, **kwargs): res = super().dispatch(request, *args, **kwargs) return res def get(self,request): return HttpResponse('get') def post(self,request): return HttpResponse('post')
  • 相关阅读:
    1083 List Grades (25 分)
    1075 PAT Judge (25 分)
    15. 会话之session
    我的编程路----
    jQuery
    CSS
    HTML display 属性 和 行内元素、块状元素、行内块状元素的区别
    实例1 : 返回顶部小操作(JQ + JS 实现)
    jQuery 事件方法
    为什么静态方法 不可以 被 非静态方法调用?
  • 原文地址:https://www.cnblogs.com/wangcuican/p/11587299.html
Copyright © 2011-2022 走看看