30.Django CSRF 中间件

CSRF

1.概述

　　CSRF(Cross Site Request Forgery)跨站点伪造请求,举例来讲，某个恶意的网站上有一个指向你的网站的链接，如果某个用户已经登录到你的网站上了，那么当这个用户点击这个恶意网站上的那个链接时，就会向你的网站发来一个请求，你的网站会以为这个请求是用户自己发来的，其实呢，这个请求是那个恶意网站伪造的。

　　为了避免上面情况的出现，Django引用了CSRF防护机制；Django第一次响应来自某个客户端的请求时，会在服务器端随机生成一个 token，并把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token，这样就能避免被 CSRF 攻击。如果POST请求中没有token随机字符串，则返回403拒绝服务

在返回的 HTTP 响应的 cookie 里，django 会为你添加一个 csrftoken 字段，其值为一个自动生成的 token

在所有的 POST 表单时，必须包含一个 csrfmiddlewaretoken 字段 （只需要在模板里加一个 tag， django 就会自动帮你生成，见下面）

在处理 POST 请求之前，django 会验证这个请求的 cookie 里的 csrftoken 字段的值和提交的表单里的 csrfmiddlewaretoken 字段的值是否一样。如果一样，则表明这是一个合法的请求，否则，这个请求可能是来自于别人的 csrf 攻击，返回 403 Forbidden。

在所有 ajax POST 请求里，添加一个 X-CSRFTOKEN header，其值为 cookie 里的 csrftoken 的值

2.启用方式

settings里面全局启用

MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

局部使用方法

先导入

from django.views.decorators.csrf import csrf_exempt,csrf_protect

@csrf_protect，为当前函数强制设置防跨站请求伪造功能，即便settings中没有设置全局中间件。
@csrf_exempt，取消当前函数防跨站请求伪造功能，即便settings中设置了全局中间件。

3.form表单提交POST请求

login.html

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="/login/" method="post">
{% csrf_token %}
<input type="text" name="user" />
<input type="text" name="pwd" />
<input type="checkbox" name="session" value="1"/>
<input type="submit" value="提交" />
</form>
</body>
</html>

from  django.shortcuts import render,HttpResponse,redirect

def login(request):
if request.method == 'GET':
return render(request ,'login.html')
elif request.method == 'POST':
user = request.POST.get('user')
pwd = request.POST.get('pwd')
if user == 'root' and pwd == "123":
# 生成随机字符串
# 写到用户浏览器Cookie
# 保存到Session中
# 　在随机字符串对应的字典中设置相关内容．．．
request.session['username'] = user
request.session['if_login'] = True  # 可不加 直接判断username也可以
if request.POST.get('session') == '1':  # 单独设置超时时间，当前session生效，不影响全局
request.session.set_expiry(10)  # 10秒
return redirect('/index/')
else:
return redirect('/login/')

def index(request):
# 获取当前用户的随机字符串
# 根据随机字符串获取对应信息
if request.session.get('if_login'):
return render(request, 'index.html')
else:
return redirect('/login/')

views.py

4.Ajax提交POST请求

login.html

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="/login/" method="post">
{% csrf_token %}
<input type="text" name="user" />
<input type="text" name="pwd" />
<input type="checkbox" name="session" value="1"/>
<input type="submit" value="提交" />
<input id='btn' type="button" value="Ajax提交" />
</form>

<script src="/static/jquery-1.12.4.js"></script>
<script src="/static/jquery.cookie.js"></script>

<script>
$(function () {
$('#btn').click(function () {
$.ajax({
url:'/login/',
type:'POST',
data:{'user':'root','pwd':'123'},
headers:{'X-CSRFtoken':$.cookie('csrftoken')},
success:function (arg) {
}
})
})
})
</script>
</body>
</html>

上面html文件点击提交后，执行成功；但是往往一个程序不止一个Ajax请求，所以我们需要对每个Ajax请求都添加headers请求头，这样未免增加很多工作量；这时就需要做全局设置，不必每个都添加请求头

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="/login/" method="post">
{% csrf_token %}
<input type="text" name="user" />
<input type="text" name="pwd" />
<input type="checkbox" name="session" value="1"/>
<input type="submit" value="提交" />
<input id='btn' type="button" value="Ajax提交" />
</form>

<script src="/static/jquery-1.12.4.js"></script>
<script src="/static/jquery.cookie.js"></script>

<script>
$(function () {
{#            全局配置，所有Ajax请求都先执行下面操作#}
$.ajaxSetup({
beforeSend:function (xhr,settings) {
xhr.setRequestHeader('X-CSRFtoken',$.cookie('csrftoken'));
}
});

$('#btn').click(function () {
$.ajax({
url:'/login/',
type:'POST',
data:{'user':'root','pwd':'123'},
success:function (arg) {
}
})
})
})
</script>
</body>
</html>

中间件

1.概述

django 中的中间件（middleware），在django中，中间件其实就是一个类，在请求到来和结束后，django会根据自己的规则在合适的时机执行中间件中相应的方法；在django项目的settings模块中，有一个 MIDDLEWARE 变量，其中每一个元素就是一个中间件，如下：

MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

2.中间件的五种方法

（1）process_request(self,request)　

请求来时执行，不写时直接跳过，执行下一个中间件；当有return HttpResonse时，下面中间件不再执行

（2）process_view(self, request, callback, callback_args, callback_kwargs)

先执行process_request，执行完后，再从起始执行proces_view

（3）process_template_response(self,request,response)　　

如果Views中的函数返回的对象中，具有render方法，此方法执行

（4）process_exception(self, request, exception)　　

异常触发执行，当views.py函数执行出错后，此方法执行；出错时，最低层的exception优先级最高，执行最近的一个，

然后执行respnse方法

（5）process_response(self, request, response)　　　　　　

请求返回时执行，不写时直接跳过，执行下一个中间件；当有return HttpResonse时，会替换原数据

以上方法的返回值可以是None和HttpResonse对象，如果是None，则继续按照django定义的规则向下执行，如果是HttpResonse对象，则直接将该对象返回给用户

3.自定义中间件

Django主目录下创建middleware目录（名字任意），在目录下创建m.py文件

1.process_request、process_response的使用

(1)views.py

def test(request):
print('测试中间件')
return HttpResponse('ok')

(2)m.py

from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import HttpResponse

class Row1(MiddlewareMixin):    #继承MiddlewareMixin类
def process_request(self,request):
print('第一个中间件')
# return HttpResponse('滚')   #加return，到这里就不会继续往下走了

def process_response(self,request,response):
print('返回信息3')
return response

class Row2(MiddlewareMixin):  # 继承MiddlewareMixin类
def process_request(self, request):
print('第二个中间件')

def process_response(self, request, response):
print('返回信息2')
return response

class Row3(MiddlewareMixin):  # 继承MiddlewareMixin类
def process_request(self, request):
print('第三个中间件')

def process_response(self, request, response):
print('返回信息1')
return response

(3)settings里面加上自定义的中间件

MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
'middleware.m.Row1',
'middleware.m.Row2',
'middleware.m.Row3',
]

（4）执行结果

第一个中间件
第二个中间件
第三个中间件
测试中间件
返回信息1
返回信息2
返回信息3

2.process_view

m.py

from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import HttpResponse

class Row1(MiddlewareMixin):    #继承MiddlewareMixin类
def process_request(self,request):
print('第一个中间件')

def process_view(self, request, view_func, view_func_args, view_func_kwargs):
print('view11')

def process_response(self,request,response):
print('返回信息3')
return response

class Row2(MiddlewareMixin):  # 继承MiddlewareMixin类
def process_request(self, request):
print('第二个中间件')

def process_view(self, request, view_func, view_func_args, view_func_kwargs):
print('view22')

def process_response(self, request, response):
print('返回信息2')
return response

class Row3(MiddlewareMixin):  # 继承MiddlewareMixin类
def process_request(self, request):
print('第三个中间件')

def process_view(self, request, view_func, view_func_args, view_func_kwargs):
print('view33')

def process_response(self, request, response):
print('返回信息1')
return response

执行结果：

第一个中间件
第二个中间件
第三个中间件
view11
view22
view33
测试中间件
返回信息1
返回信息2
返回信息3