中间件
一、什么是中间件
请求的时候需要先经过中间件才能到达django后端(urls,views,templates,models)
响应的时候也需要经过中间件才能到达web服务网关接口
django默认的七个中间件
MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', ]
二、django中间件作用(********)
1.网站全局的身份校验,访问频率限制,权限校验。。。只要是涉及到全局的校验你都可以在中间件完成
2.django的中间件是所有web框架中做的最好的
三、中间件执行顺序
-process_request()方法,从上往下执行 1.如果返回 HttpResponse对象,那么会直接返回,不再往下执行而是跳到同级别的process_response方法,直接往回走 2.请求来的时候,会经过每个中间件里面的process_request方法(从上往下) -process_response,从下往上执行 1.必须要将response形参返回,这个形参指代的就是要返回给前端的数据 2.响应走的时候,会依次经过每一个中间件里面的process_response方法(从下往上)
四、自定义中间件
1.导包
from django.utils.deprecation import MiddlewareMixin
2.定义类,继承MiddlewareMixin
在app01应用中创建一个文件夹mymiddleware,再创建一个mdd.py文件
class MyMdd(MiddlewareMixin): def process_request(self,request): print('我是第一个中间件里面的process_request方法') def process_response(self,request,response): print('我是第一个中间件里面的process_response方法') return responseclass MyMdd1(MiddlewareMixin): def process_request(self,request): print('我是第二个中间件里面的process_request方法') def process_response(self,request,response): print('我是第二个中间件里面的process_response方法') return response
3.定义视图函数
def index(request): print("view函数...") return HttpResponse("OK")
4.在settings中MIDDLEWARE注册自定义中间件
MIDDLEWARE =[ 'mymiddleware.mdd.MyMdd', 'mymiddleware.mdd.MyMdd1', 'mymiddleware.mdd.MyMdd2', ]
5.设置路由
urlpatterns = [ url(r'^index/',view.index) ]
结果
我是第一个中间件里面的process_request方法
我是第二个中间件里面的process_request方法
view函数...
我是第二个中间件里面的process_response方法
我是第一个中间件里面的process_response方法
五、中间件五个可以自定义的方法
需要掌握的方法:
1.process_request()方法 请求来的时候会走该方法
1.请求来的时候 会经过每个中间件里面的process_request方法(从上往下) 2.如果方法里面直接返回了HttpResponse对象 那么会直接返回 不再往下执行 基于该特点就可以做访问频率限制,身份校验,权限校验
2.process_response()方法 响应回去的时候会走该方法
1.必须将response形参返回 因为这个形参指代的就是要返回给前端的数据
2.响应走的时候 会依次经过每一个中间件里面的process_response方法(从下往上)
需要了解的方法:
3.process_view()
在路由匹配成功执行视图函数之前 触发
4.process_exception()
当你的视图函数报错时,就会自动执行
5.process_template_response()
当你返回的HttpResponse对象中必须包含render属性才会触发 def index(request): print('我是index视图函数') def render(): return HttpResponse('什么鬼玩意') obj = HttpResponse('index') obj.render = render return obj
总结:
你在书写中间件的时候,只要形参中有response,你就应该顺手将其返回,这个response就是要给前端的信息。 这五种方法有哪些特点: 1.都需要继承MiddlewareMixin 2.在注册中间件的时候,在settings中写的路径不能错
CSRF——跨站请求伪造
1.什么是CSRF攻击
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的。
比如钓鱼网站
2.CSRF攻击原理
要完成一次CSRF攻击,受害者必须依次完成两个步骤:
1.登录受信任网站A,并在本地生成Cookie。
2.在不登出A的情况下,访问危险网站B。
钓鱼网站例子
通过制作一个跟正儿八经的网站一模一样的页面,骗取用户输入信息 转账交易从而做手脚
转账交易的请求确确实实是发给了中国银行,账户的钱也是确确实实少了
唯一不一样的地方在于收款人账户不对
内部原理
在让用户输入对方账户的那个input上面做手脚
给这个input不设置name属性,在内部隐藏一个实现写好的name和value属性的input框
这个value的值 就是钓鱼网站受益人账号
如何去写这个特殊的字符串呢?模版语法有一个固定的写法{% csrf_token %},必须写在form表单内
3.CSRF攻击防范
防止钓鱼网站的思路
网站会给用户访问的form表单页面 偷偷塞一个随机字符串
请求到来的时候 会先比对随机字符串是否一致 如果不一致 直接拒绝(403)
该随机字符串有以下特点
1.同一个浏览器每一次访问都不一样
2.不同浏览器绝对不会重复
4.CSRF在Django中的应用
1.在form表单中使用
<form action="" method="post"> {% csrf_token %} <p>username:<input type="text" name="username"></p> <p>password:<input type="text" name="password"></p> <input type="submit"> </form>
2.在ajax中使用,如何避免csrf校验
- 有两种方法,通过修改ajax的data
方法一:先在form表单页面上写{% csrf_token%},利用标签查找,获取到该input键值消息
data{'username':'jason','csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()}
方法二:直接书写'{{csrf_token}}'
data:{'username':'jason','csrfmiddlewaretoken':'{{ csrf_token }}'}
- 还可以将获取随机键值对的方法,写到一个js文件中,然后导入这个文件即可
新建一个js文件,存放以下代码
function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !== '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = jQuery.trim(cookies[i]); // Does this cookie string begin with the name we want? if (cookie.substring(0, name.length + 1) === (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } var csrftoken = getCookie('csrftoken'); function csrfSafeMethod(method) { // these HTTP methods do not require CSRF protection return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method)); } $.ajaxSetup({ beforeSend: function (xhr, settings) { if (!csrfSafeMethod(settings.type) && !this.crossDomain) { xhr.setRequestHeader("X-CSRFToken", csrftoken); } } });
5.CSRF禁用
1.CSRF全局禁用
注释掉settings中MIDDLEWARE的中间件 'django.middleware.csrf.CsrfViewMiddleware',
2.CSRF局部禁用
- 在FBV中,直接加载FBV就行了 (在页面不加csrf_token情况下)
from django.views.decorators.csrf import csrf_exempt,csrf_protect
#(前提是全局使用,没有注释csrf) 让这个不用校验,可以局部使用
#当你网站全局需要校验csrf的时候,有几个不需要校验该如何处理 @csrf_exempt def login(request): return HttpResponse('login') #(前提是全局禁用,注释csrf,不会进行校验) 设置就会进行校验,局部禁用
#当你网站全局不校验csrf的时候,有几个需要校验又该如何处理 @csrf_protect def lll(request): return HttpResponse('lll')
- 在CBV中,只能在dispatch方法或者类上面
from django.views import View from django.views.decorators.csrf import csrf_exempt,csrf_protect from django.utils.decorators import method_decorator # 这两个装饰器在给CBV装饰的时候 有一定的区别 如果是csrf_protect 那么有三种方式 # 第一种方式 # @method_decorator(csrf_protect,name='post') # 有效的 class MyView(View): # 第三种方式 # @method_decorator(csrf_protect) def dispatch(self, request, *args, **kwargs): res = super().dispatch(request, *args, **kwargs) return res def get(self,request): return HttpResponse('get') # 第二种方式 # @method_decorator(csrf_protect) # 有效的 def post(self,request): return HttpResponse('post')
如果是csrf_exempt 只有两种(只能给dispatch装) 特例 @method_decorator(csrf_exempt,name='dispatch') # 第二种可以不校验的方式 class MyView(View): # @method_decorator(csrf_exempt) # 第一种可以不校验的方式 def dispatch(self, request, *args, **kwargs): res = super().dispatch(request, *args, **kwargs) return res def get(self,request): return HttpResponse('get') def post(self,request): return HttpResponse('post')