Django框架之十 中间件 csrf跨站请求伪造

中间件

一、什么是中间件

求的时候需要先经过中间件才能到达django后端(urls,views,templates,models)

响应的时候也需要经过中间件才能到达web服务网关接口

Django框架之十 中间件  csrf跨站请求伪造

 

  django默认的七个中间件

MIDDLEWARE = [
                                    
             'django.middleware.security.SecurityMiddleware',
                                 
             'django.contrib.sessions.middleware.SessionMiddleware',
                                 
             'django.middleware.common.CommonMiddleware',
                                 
             'django.middleware.csrf.CsrfViewMiddleware',
                                 
             'django.contrib.auth.middleware.AuthenticationMiddleware',
                                 
             'django.contrib.messages.middleware.MessageMiddleware',
                                 
             'django.middleware.clickjacking.XFrameOptionsMiddleware',
    ]

二、django中间件作用(********)  

1.网站全局的身份校验,访问频率限制,权限校验。。。只要是涉及到全局的校验你都可以在中间件完成

2.django的中间件是所有web框架中做的最好的

三、中间件执行顺序

-process_request()方法,从上往下执行
        1.如果返回 HttpResponse对象,那么会直接返回,不再往下执行而是跳到同级别的process_response方法,直接往回走
        2.请求来的时候,会经过每个中间件里面的process_request方法(从上往下)
-process_response,从下往上执行
        1.必须要将response形参返回,这个形参指代的就是要返回给前端的数据
        2.响应走的时候,会依次经过每一个中间件里面的process_response方法(从下往上)

  Django框架之十 中间件  csrf跨站请求伪造

 

 

Django框架之十 中间件  csrf跨站请求伪造

 

 Django框架之十 中间件  csrf跨站请求伪造

 

  四、自定义中间件

1.导包

from django.utils.deprecation import MiddlewareMixin

2.定义类,继承MiddlewareMixin  

在app01应用中创建一个文件夹mymiddleware,再创建一个mdd.py文件

class MyMdd(MiddlewareMixin):
    def process_request(self,request):
        print('我是第一个中间件里面的process_request方法')

    def process_response(self,request,response):
        print('我是第一个中间件里面的process_response方法')
        return responseclass MyMdd1(MiddlewareMixin):
    def process_request(self,request):
        print('我是第二个中间件里面的process_request方法')

    def process_response(self,request,response):
        print('我是第二个中间件里面的process_response方法')
        return response

3.定义视图函数  

def index(request):
    print("view函数...")
    return HttpResponse("OK")

4.在settings中MIDDLEWARE注册自定义中间件  

MIDDLEWARE =[
     'mymiddleware.mdd.MyMdd',
     'mymiddleware.mdd.MyMdd1',
     'mymiddleware.mdd.MyMdd2',

]

5.设置路由  

 

urlpatterns = [
    url(r'^index/',view.index)

]

结果

我是第一个中间件里面的process_request方法
我是第二个中间件里面的process_request方法
view函数...
我是第二个中间件里面的process_response方法
我是第一个中间件里面的process_response方法

五、中间件五个可以自定义的方法

需要掌握的方法:

1.process_request()方法    请求来的时候会走该方法

1.请求来的时候 会经过每个中间件里面的process_request方法(从上往下)
2.如果方法里面直接返回了HttpResponse对象 那么会直接返回 不再往下执行
    基于该特点就可以做访问频率限制,身份校验,权限校验

2.process_response()方法   响应回去的时候会走该方法

1.必须将response形参返回 因为这个形参指代的就是要返回给前端的数据
2.响应走的时候 会依次经过每一个中间件里面的process_response方法(从下往上)

 需要了解的方法: 

  

3.process_view()

在路由匹配成功执行视图函数之前 触发

4.process_exception()

当你的视图函数报错时,就会自动执行

5.process_template_response()

Django框架之十 中间件  csrf跨站请求伪造
当你返回的HttpResponse对象中必须包含render属性才会触发
def index(request):
    print('我是index视图函数')
    def render():
        return HttpResponse('什么鬼玩意')
    obj = HttpResponse('index')
    obj.render = render
    return obj
Django框架之十 中间件  csrf跨站请求伪造

总结:

你在书写中间件的时候,只要形参中有response,你就应该顺手将其返回,这个response就是要给前端的信息。

这五种方法有哪些特点:
1.都需要继承MiddlewareMixin
2.在注册中间件的时候,在settings中写的路径不能错

CSRF——跨站请求伪造

1.什么是CSRF攻击

攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的。

比如钓鱼网站

2.CSRF攻击原理

Django框架之十 中间件  csrf跨站请求伪造

要完成一次CSRF攻击,受害者必须依次完成两个步骤:

  1.登录受信任网站A,并在本地生成Cookie。

  2.在不登出A的情况下,访问危险网站B。

钓鱼网站例子

Django框架之十 中间件  csrf跨站请求伪造
通过制作一个跟正儿八经的网站一模一样的页面,骗取用户输入信息 转账交易从而做手脚
转账交易的请求确确实实是发给了中国银行,账户的钱也是确确实实少了
唯一不一样的地方在于收款人账户不对
内部原理
    在让用户输入对方账户的那个input上面做手脚
    给这个input不设置name属性,在内部隐藏一个实现写好的name和value属性的input框
    这个value的值 就是钓鱼网站受益人账号

如何区分钓鱼网站和正经网站?在正经网站返回页面的时候,在form表单中偷偷塞一个特殊的字符串,后端记下该页面对应的字符串的值,等用户发post请求来的时候,我先去校验特殊的字符串是否匹配

如何去写这个特殊的字符串呢?模版语法有一个固定的写法{% csrf_token %},必须写在form表单内

Django框架之十 中间件  csrf跨站请求伪造

3.CSRF攻击防范

防止钓鱼网站的思路
    网站会给用户访问的form表单页面 偷偷塞一个随机字符串
    请求到来的时候 会先比对随机字符串是否一致  如果不一致  直接拒绝(403)

该随机字符串有以下特点
  1.同一个浏览器每一次访问都不一样
  2.不同浏览器绝对不会重复

4.CSRF在Django中的应用

1.在form表单中使用

<form action="" method="post">
    {% csrf_token %}
    <p>username:<input type="text" name="username"></p>
    <p>password:<input type="text" name="password"></p>
    <input type="submit">
</form>

2.在ajax中使用,如何避免csrf校验

  • 有两种方法,通过修改ajax的data

  方法一:先在form表单页面上写{% csrf_token%},利用标签查找,获取到该input键值消息

data{'username':'jason','csrfmiddlewaretoken':$('[name=csrfmiddlewaretoken]').val()}

  方法二:直接书写'{{csrf_token}}'

data:{'username':'jason','csrfmiddlewaretoken':'{{ csrf_token }}'}
  • 还可以将获取随机键值对的方法,写到一个js文件中,然后导入这个文件即可

  新建一个js文件,存放以下代码

Django框架之十 中间件  csrf跨站请求伪造
function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
             // Does this cookie string begin with the name we want?
             if (cookie.substring(0, name.length + 1) === (name + '=')) {
                 cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                 break;
             }
        }
     }
     return cookieValue;
}
var csrftoken = getCookie('csrftoken');


function csrfSafeMethod(method) {
   // these HTTP methods do not require CSRF protection
   return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
 }

$.ajaxSetup({
     beforeSend: function (xhr, settings) {
       if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken);
         }
     }
 });
Django框架之十 中间件  csrf跨站请求伪造

5.CSRF禁用

1.CSRF全局禁用

注释掉settings中MIDDLEWARE的中间件 'django.middleware.csrf.CsrfViewMiddleware',

2.CSRF局部禁用

  • 在FBV中,直接加载FBV就行了 (在页面不加csrf_token情况下)
Django框架之十 中间件  csrf跨站请求伪造
from django.views.decorators.csrf import csrf_exempt,csrf_protect
#(前提是全局使用,没有注释csrf) 让这个不用校验,可以局部使用
#当你网站全局需要校验csrf的时候,有几个不需要校验该如何处理 @csrf_exempt def login(request): return HttpResponse('login') #(前提是全局禁用,注释csrf,不会进行校验) 设置就会进行校验,局部禁用
#当你网站全局不校验csrf的时候,有几个需要校验又该如何处理 @csrf_protect def lll(request): return HttpResponse('lll')
Django框架之十 中间件  csrf跨站请求伪造
  • 在CBV中,只能在dispatch方法或者类上面
Django框架之十 中间件  csrf跨站请求伪造
from django.views import View
from django.views.decorators.csrf import csrf_exempt,csrf_protect
from django.utils.decorators import method_decorator
# 这两个装饰器在给CBV装饰的时候 有一定的区别
如果是csrf_protect 那么有三种方式
    # 第一种方式
    # @method_decorator(csrf_protect,name='post')  # 有效的
    class MyView(View):
        # 第三种方式
        # @method_decorator(csrf_protect)
        def dispatch(self, request, *args, **kwargs):
            res = super().dispatch(request, *args, **kwargs)
            return res

        def get(self,request):
            return HttpResponse('get')
        # 第二种方式
        # @method_decorator(csrf_protect)  # 有效的
        def post(self,request):
            return HttpResponse('post')
如果是csrf_exempt 只有两种(只能给dispatch装) 特例 @method_decorator(csrf_exempt,name='dispatch') # 第二种可以不校验的方式 class MyView(View): # @method_decorator(csrf_exempt) # 第一种可以不校验的方式 def dispatch(self, request, *args, **kwargs): res = super().dispatch(request, *args, **kwargs) return res def get(self,request): return HttpResponse('get') def post(self,request): return HttpResponse('post')
Django框架之十 中间件  csrf跨站请求伪造

  

 

上一篇:谈谈跨域这点事儿


下一篇:pikachu靶场之csrf(1)