cbv加装饰器,中间件,csrf
2018-11-23 本文已影响0人
aq_wzj
1. CBV加装饰器
- 导入:from django.utils.decorators import method_decorator
-1 可以在方法上加装饰器:
@method_decorator(login_auth)
-2 可以在类上加
@method_decorator(login_auth,name='post')
@method_decorator(login_auth,name='get')
-3 可以加在dishpatch方法上
@method_decorator(login_auth)
一旦加在dishpatch,说明,所有方法都加了装饰器
2. 中间件
-
中间件是什么?请求和响应之间的一道屏障
-
中间件作用:控制请求和响应
-
django中内置几个中间件
在settings.py里面的
MIDDLEWARE中 -
自定义中间件
先导入: from django.utils.deprecation import MiddlewareMixin 定义一个类,随意命名,继承MiddlewareMixin class MyMiddleware1(MiddlewareMixin): def process_request(self, request): print('MyMiddleware---->1---->process_request') # 返回HttpRspons对象,直接返回,走自己的process_response # 返回None的时候,继续往下走 # return HttpResponse('i am middle--1') return None def process_response(self, request, response): print('MyMiddleware--->1---->process_response') return response 然后在setting中注册,是有顺序的 MIDDLEWARE = [ 'app01.mymiddelware.MyMiddleware1', # mymiddelware是自己新建的py文件 ] -
中间件的执行顺序
process_request,从上往下执行 如果retrun HttpResponse的对象,直接返回,走自己的process_response 如果retrun None ,继续往下走 process_response,从下往上执行 必须要retrun Httpresponse的对象
-
中间件的方法
process_request 请求来的时候,会响应它 process_response 响应回去的时候,会走它 上面两个是重点,以下为了解即可 process_view(了解) 参数: request, callback(视图函数), callback_args(无名分组的参数), callback_kwargs(有名分组的参数) def process_exception(self, request, exception) def process_template_response(self, request, response)
流程图
- process_exception是在视图函数出错时才会执行
- 如果process_view里面有返回值, 那么会直接跳到process_response上
3. csrf:跨站请求伪造
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的
csrf攻击图解
-
如何防范:
- 通过refer
- 加一个随机字符串校验(加载请求的路径里,加载请求体中)
- 在请求头中加字符串校验
-
django中的应用:
之前我们会在settings里面注释掉
'django.middleware.csrf.CsrfViewMiddleware',这行代码以后不需要再注释掉了, 以后再发post请求, 携带那个随机字符串
1. form表单的形式 <form action="" method="post"> #<input type='hidden' name='csrfmiddlewaretoken' value='yBwQ6HcM1Bl1jAC75cSoqgVtfriexShbHjtV2TjenYYQVxvv91sVRADi2lkiy9R2' /> {% csrf_token %}#这一行会被渲染成上面那个东西, 后面的一大串是自动生成的,网页刷新一次就会变掉 <input type="text" name="name"> <input type="text" name="pwd"> <input type="submit" value="提交"> </form> 2. ajax之放在data提交 data: { 'name': $('[name="name"]').val(), 'pwd': $('[name="pwd"]').val(), //'csrfmiddlewaretoken': $('[name="csrfmiddlewaretoken"]').val() //上面一行是通过获取那个渲染出来的框得到的字符串 'csrfmiddlewaretoken': '{{ csrf_token }}'//这个是直接获取到的,这个好,推荐 //注意需要在{{}}外包引号 }, 2. ajax之放在headers提交 $.ajax({ url: '', headers: {'X-CSRFToken': token}, type: 'post', data: { 'name': $('[name="name"]').val(), 'password': $("#pwd").val(), }, success: function (data) { console.log(data) } })也可以使用cookie的方式
获取cookie:document.cookie 是一个字符串,可以自己用js切割,也可以用jquery的插件 获取cookie:$.cookie('csrftoken') 设置cookie:$.cookie('key','value')
4. csrf的局部禁用,局部使用
首先, 局部禁用的前提是全局开启了, 即settings里并没有注掉
局部使用的前提是全局禁用了, 即settings里注掉了
-
首先需要导入装饰器
from django.views.decorators.csrf import csrf_exempt,csrf_protect
-
基于FBV-->直接加载fbv上就行了
-局部禁用,全局得使用 @csrf_exempt def csrf_disable(request): print(request.POST) return HttpResponse('ok') -局部使用,全局得禁用 @csrf_protect def csrf_disable(request): print(request.POST) return HttpResponse('ok')
-
基于CBV-->只能加在dispatch方法或者类上面
from django.views import View from django.utils.decorators import method_decorator @method_decorator(csrf_protect,name='dispatch') class Csrf_disable(View): # @method_decorator(csrf_protect) def dispatch(self, request, *args, **kwargs): ret=super().dispatch(request, *args, **kwargs) return ret def get(self,request): return HttpResponse('ok') def post(self,request): return HttpResponse('post---ok')
[图片上传中...(1350514-20180820125344585-649037160.png-d38573-1542956602760-0)]
