django 中间件与 csrf 的有关问题
2018-06-12 本文已影响0人
vckah
Django 的中间件一般需要实现几个方法来达到固定的需求
- process_request
Django 接收到 request 之后,但未解析 url 之前,返回 None 或 HttpResponse 对象 - process_view
Django 执行完 request 预处理函数并确定待执行的 view 后,但在 view 函数实际执行前。 - process_response
Django 执行完 view 函数并生成 response 之后 - process_exception
request 处理过程中出现问题或 view 抛出了未捕获的异常 -
process_template_response
Django 在 view 函数中返回 render 的一个模板时调用。
来看一张流程图:
来源于网络,如若侵权请告知
中间件的作用:
适用于所有请求批量做操作
主要有如下的场景:
- 基于角色的权限控制
- 用户认证
- csrf 和 session
- 黑(白)名单
- 日志记录
csrf 在 process_view 中实现了。Django 会在每次含有表单的请求中带一个 csrf_token 值,这个是一个随机字符串。当含有表单的请求执行时,Django 检查其中的 csrf_token 是否是上一次发的,如果是,则继续执行请求,否则返回错误。中间件先判断函数是否添加了 csrf 装饰器,默认所有 post 方法都加了。然后再获取用户提交的 token,检验其是否正确。
session 也是类似,不过它实现了 process_request 方法。来看一下具体代码:
def process_request(self, request):
session_key = request.COOKIES.get(settings.SESSION_COOKIE_NAME)
request.session = self.SessionStore(session_key)
免除 csrf
导入 django.views.decorators.csrf import csrf_exempt·, csrf_protect
fbv 直接添加 @csrf_exempt 表示免除 csrf 认证
若在中间件那块没有配置 csrf ,那么可以添加 @csrf_protect 来表示需要 csrf 认证。
那么在 cbv 方法中加装饰器是否有用呢?答案是不行的。
from django.utils.decorators import method_decorator
# 然后需要在 dispatch 方法中加上
@method_decorator(csrf_exempt)
def dispatch(*args, **kwargs):
pass
# 或者直接在类上加
@method_decorator(csrf_exempt, name='dispatch')
class testView(View):
pass
如果不明白 dispatch 函数,可以看看这篇文章。
补充
如果在页面上出现需要使用 ajax 发送请求时,那么也需要传送 csrftoken 的值,这个怎么获取呢?
默认情况下,csrf 会在 form 表单中生成一个 input 框,另外还会在 cookie 中设置一个 cookie 值 csrftoken。Django 里面会将请求头中的封装为 HTTP_X_CSRFTOKEN,所以我们在请求头中需要设置 X-CSRFtoken。请求头中不能出现下划线。这一点很重要,我是第一次知道。
# 采用 Jquery 和 jquery-cookie
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
# 以上表示 GET, HEAD, OPTIONS, TRACE 不需要加 csrftoken
var csrftoken = $.cookie('csrftoken');
$(function() {
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain)
{
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
})
});
# 当然了也可以在每一次 ajax 请求时设置 headers
$.ajax({
url:xxx.
type:"POST",
data:{},
headers:{'X-CSRFtoken': $.cookie('csrftoken')},
success: function(arg){
pass
}
})
另外,请求头中的 csrftoken 值和 form 中 csrftoken 的值不一样。
