40.django中重要概念

目录

• 模板引擎
• cookie,session
• 中间件
  • 中间件定义方法
  • 中间件执行流程
• MVC,MTV
• Csrf攻击
• csrf(跨站请求伪造)

模板引擎

1.基本数据类型

• 字符串、整数、小数
• 列表
• 字典
• 列表套字典

2.母版

• 母版页面（layout.html）

  {% block mycontent%}
  {% endblock %}
  
  {% block mycss%}
  {% endblock %}
  
  {% block myjs%}
  {% endblock %}
  

• 子版页面

  {%extends "layout.html"%} 继承母版
  
  {% block mycontent%}
   子版自己的内容
  {% endblock %}
  

3.导入模块方式

使用include: {% include " xxx.html" %} 可以导入对应模板中的内容

4.内置函数

str='cc FF gg AA'

html模板中：
{{ str|upper }}     CC FF GG AA
{{ str|lower }}       cc ff gg aa
{{ str|first|upper }}   c
{{ str|truncatewords:"3" }}  cc FF gg...

5.自定义函数

a. 在app中创建templatetags目录
b. 在上述的目录中创建 xxx.py
c. 在xxx.py中，
from django import template

register = template.Library()

@register.filter
def my_filter(val, args):
	return val + args

@register.simple_tag
def my_upper(val, args, args1):
	return val + args + args1


在html中：
{%load xxx %}

- simple_filter
{{name | my_filter:'xxxxx'}}

- simple_tag
{%my_upper "zekai" "sss" 'dsadsadsa'%}

不建议在模板中使用函数， 因为会降低模板的渲染效率， 建议在视图函数中直接处理， 然后渲染即可

cookie,session

cookie是存在于客户端的，   
   它的作用是：
       验证登录信息的，通过使用 cookie完善登录的逻辑

   为了便于理解可以把cookie当作记录了登录信息的小纸条，并且有一定的生效时间。
   cookie具体在网络中的机制是：
   1.首先浏览器客户端登录访问服务端时，服务端提供登录页面给浏览器
   2.浏览器端提交数据给服务器，相当于记录信息（是session的机制）
   3.此时服务端会回写cookie给浏览器，也就是相当于递了一个小纸条给浏览器
   4.浏览器将cookie保存，并发送第二次请求，而且要带上cookie
   5.服务端通过认证，可以请求其他数据。
      
   在python中具体的用法是：
 通过set_cookie这个函数，后面跟的参数有，key-value,
  是cookie的键值对，用来设定值，通过判断来确定是否需要登录，
  后面有一个参数是max_age,表示登录后生效的时间，超过此时间，     	  cookie会被清除，则需要再次登录。
  
  还有expires也是表示生效时间，以年月日形式，最少设为一天
  domain是表示生效的域名
  
  如果一个cookie被设置了Secure=true，那么这个cookie只能用https协议发送给服务器，用http协议是不发送的	
  
  我们可以通过document.cookie打出cookie的内容
  只要通过设置HttpOnly=true，这样cookie就不能被js获取到    
       
  为了安全性：我们还可以加盐处理set_signed_cookie(key, val,  salt)

session在服务端，依赖于cookie的，用来登记信息

session机制:
1. 向客户端回写一个 {sessionid : 'lr3gmj3vpt0ytf7locqnb21p0cg63iek'}的cookie值
2. 将客户的隐私信息保存在了服务端的数据库中，也就是session保存在了数据库中
默认放在django_session表中
{"dsjnalndjskanjdksa" : {"name":'xxx', 'age':18, 'addr':'dsabdsa'}}

#### 在视图函数中设置session的方法：
request.session['name'] = username
request.session['age'] = 13

#### 获取session
request.session.get('name')

### 默认session存在数据库中的django_session表

#还可以通过缓存，文件或者缓存加数据库的方式保存session

中间件

在django中，浏览器和服务端之间发送请求和响应时需要通过中间件，在django的settings中，有一个 MIDDLEWARE_列表中，每一个元素就是一个中间件。

当django处理一个 Request 的过程是首先通过中间件，然后再通过默认的 URL 方式进行的。我们可以在 Middleware 这个地方把所有Request 拦截住，用我们自己的方式完成处理以后直接返回 Response。

中间件定义方法

中间件中可以定义五个方法，具体如下：

Request预处理函数: process_request(self, request)

这个方法的调用时机在Django接收到request之后，但仍未解析URL以确定应当运行的视图函数。Django向它传入相应的Request对象，以便在方法中修改。

如果返回None，Django将继续处理这个request，执行后续的中间件， 然后调用相应的 view。

如果返回HttpResponse对象，Django将不再执行任何除了process_response以外其它的中间件以及相应的view，Django将立即返回该HttpResponse。

View预处理函数: process_view(self, request, callback, callback_args,callback_kwargs)

这个方法的调用时机在 Django 执行完 request 预处理函数并确定待执行的 view （即callback参数）之后，但在 view 函数实际执行之前。

request：HttpRequest 对象。

callback：Django将调用的处理request的python函数. 这是实际的函数对象本身, 而不是字符串表述的函数名。

args：将传入view的位置参数列表，但不包括request参数(它通常是传入view的第一个参数)。

kwargs：将传入view的关键字参数字典。

process_view() 应当返回None或 HttpResponse 对象。如果返回 None， Django将继续处理这个request ，执行后续的中间件， 然后调用相应的view。

如果返回 HttpResponse 对象，Django 将不再执行任何其它的中间件(不论种类)以及相应的view，Django将立即返回。

Template模版渲染函数：process_template_response()

默认不执行，只有在视图函数的返回结果对象中有render方法才会执行，并把对象的render方法的返回值返回给用户（注意不返回视图函数的return的结果了，而是返回视图函数 return值（对象）中rende方法的结果）

Exception后处理函数:process_exception(self, request, exception)

这个方法只有在 request 处理过程中出了问题并且view 函数抛出了一个未捕获的异常时才会被调用。这个钩子可以用来发送错误通知，将现场相关信息输出到日志文件，或者甚至尝试从错误中自动恢复。

这个函数的参数除了一贯的request对象之外，还包括view函数抛出的实际的异常对象exception 。

process_exception() 应当返回None或HttpResponse对象。

如果返回None，Django将用框架内置的异常处理机制继续处理相应request。

如果返回HttpResponse对象，Django将使用该response对象，而短路框架内置的异常处理机制。

Response后处理函数:process_response(self, request, response)

这个方法的调用时机在 Django 执行 view 函数并生成 response 之后。

该处理器能修改response 的内容；一个常见的用途是内容压缩，如gzip所请求的HTML页面。

这个方法的参数相当直观：request是request对象，而response则是从view中返回的response对象。

process_response() 必须返回 HttpResponse 对象. 这个 response 对象可以是传入函数的那一个原始对象（通常已被修改），也可以是全新生成的。

中间件执行流程

请求到达中间件之后，先按照正序执行每个注册中间件的process_request方法，process_request方法返回的值是None，就依次执行，如果返回的值是HttpResponse对象，不再执行后面的process_request方法，而是执行当前对应中间件的process_response方法(注意不是掉头执行所有的process_response方法)，将HttpResponse对象返回给浏览器。也就是说：如果MIDDLEWARE中注册了6个中间件，执行过程中，第3个中间件返回了一个HttpResponse对象，那么第4,5,6中间件的process_request和process_response方法都不执行，顺序执行3,2,1中间件的process_response方法。

process_request方法都执行完后，匹配路由，找到要执行的视图函数，先不执行视图函数，先执行中间件中的process_view方法，process_view方法返回None，继续按顺序执行，所有process_view方法执行完后执行视图函数。假如中间件3 的process_view方法返回了HttpResponse对象，则4,5,6的process_view以及视图函数都不执行，直接从最后一个中间件，也就是中间件6的process_response方法开始倒序执行。

MVC,MTV

MVC模式:程序不论简单或复杂，从结构上看，都可以分成三层

1.最上面的一层，是直接面向最终用户的”视图层”（View）。它是提供给用户的操作界面，是程序的外壳。
2.最底下的一层，是核心的”数据层”（Model），也就是程序需要操作的数据或信息
3.中间的一层，就是”控制层”（Controller），它负责根据用户从”视图层”输入的指令，选取”数据层”中的数据，然后对其进行相应的操作，产生最终结果

MTV模式：django中特有的模式

1.M: model, 相当于model层，和mvc中的m一样

2.T: Template, 相当于view层

3.V: view, 相当于controller层

Csrf攻击

CSRF（Cross-site request forgery）跨站请求伪造攻击，与XSS不同，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。

1.用户C打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A；

2.在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A；

3.用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B；

4.网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点A；

5.浏览器在接收到这些攻击性代码后，根据网站B的请求，在用户不知情的情况下携带Cookie信息，向网站A发出请求。网站A并不知道该请求其实是由B发起的，所以会根据用户C的Cookie信息以C的权限处理该请求，导致来自网站B的恶意代码被执行。

防御这种攻击可以在请求地址中添加 token 并验证

csrf(跨站请求伪造)

先写一个简单的post请求，复现报错信息

钓鱼网站:银行转账的路径，你是否也可以拿到，然后你做一个跟银行一模一样的页面，也超银行的借口提交数据，当用户在钓鱼网站输入对方账户名和转账金额之后，点击发送。其实内部是将对方账户换成了钓鱼网站的造假人员的账户。造成你转账转错账户的情况

开两个django项目，模拟转账的现象

如何区分钓鱼网站和正经网站？在正经网站返回页面的时候，在form表单中偷偷塞一个特殊的字符串，后端记下改页面对应的字符串的值，等用户发post请求来的时候，我先去校验特殊的字符串是否匹配

如何去写这个特殊的字符串呢？模版语法有一个固定的写法{% csrf_token %},必须写在form表单内

浏览器查看改标签的值，并且每次都在刷新。再来演示刚刚转账的示例

ajax中如何设置csrf_token

# 第一种页面上先写一个{%csrf_token%}标签，后面用jquery查找标签取值组成键值对放入data中即可

csrf_token局部使用

# 只想给某个视图韩式加上csrf校验
from django.views.decorators.csrf import csrf_exempt,csrf_protect

# 局部禁用
@csrf_exempt
def index(request):
  pass

# 局部使用
@csrf_protect
def login(request):
  pass

# CBV比较特殊，不能单独加在某个方法上
# 只能加在类上或dispatch方法上
from django.utils.decorators import method_decorator
from django.views.decorators.csrf import csrf_exempt,csrf_protect
@method_decorator(csrf_exempt,name='get')  # 第一种
class Csrf_Token(View):
  @method_decorator(csrf_exempt)  # 第二种
  def dispatch(self,request,*args,**kwargs):
    res = super().dispatch(request,*args,**kwargs)
    return res
  @method_decorator(csrf_exempt)  # 这里这么写不行！！！
  def get(self,request):
    pass
  def post(self,request):
    pass