跨站请求伪造
一、简介
django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。
全局:
中间件 django.middleware.csrf.CsrfViewMiddleware
局部:
- @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
- @csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。
注:from django.views.decorators.csrf import csrf_exempt,csrf_protect
二、应用
1、普通表单
veiw中设置返回值: return render_to_response('Account/Login.html',data,context_instance=RequestContext(request)) 或者 return render(request, 'xxx.html', data) html中设置Token: {% csrf_token %}
2、Ajax
对于传统的form,可以通过表单的方式将token再次发送到服务端,而对于ajax的话,使用如下方式。
view.py
1 from django.template.context import RequestContext 2 # Create your views here. 3 4 5 def test(request): 6 7 if request.method == 'POST': 8 print request.POST 9 return HttpResponse('ok') 10 return render_to_response('app01/test.html',context_instance=RequestContext(request))
text.html
1 <!DOCTYPE html> 2 <html> 3 <head lang="en"> 4 <meta charset="UTF-8"> 5 <title></title> 6 </head> 7 <body> 8 {% csrf_token %} 9 10 <input type="button" onclick="Do();" value="Do it"/> 11 12 <script src="/static/plugin/jquery/jquery-1.8.0.js"></script> 13 <script src="/static/plugin/jquery/jquery.cookie.js"></script> 14 <script type="text/javascript"> 15 var csrftoken = $.cookie('csrftoken'); 16 17 function csrfSafeMethod(method) { 18 // these HTTP methods do not require CSRF protection 19 return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method)); 20 } 21 $.ajaxSetup({ 22 beforeSend: function(xhr, settings) { 23 if (!csrfSafeMethod(settings.type) && !this.crossDomain) { 24 xhr.setRequestHeader("X-CSRFToken", csrftoken); 25 } 26 } 27 }); 28 function Do(){ 29 30 $.ajax({ 31 url:"/app01/test/", 32 data:{id:1}, 33 type:'POST', 34 success:function(data){ 35 console.log(data); 36 } 37 }); 38 39 } 40 </script> 41 </body> 42 </html>
more:更多:https://docs.djangoproject.com/en/dev/ref/csrf/#ajax
Cookie
1、获取Cookie:
1 request.COOKIES['key'] 2 request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None) 3 参数: 4 default: 默认值 5 salt: 加密盐 6 max_age: 后台控制过期时间
2、设置Cookie:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
rep = HttpResponse(...) 或 rep = render(request, ...)rep.set_cookie(key,value,...)rep.set_signed_cookie(key,value,salt='加密盐',...) 参数: key, 键 value='', 值 max_age=None, 超时时间 expires=None, 超时时间(IE requires expires, so set it if hasn't been already.) path='/', Cookie生效的路径,/ 表示根路径,特殊的:跟路径的cookie可以被任何url的页面访问 domain=None, Cookie生效的域名 secure=False, https传输 httponly=False 只能http协议传输,无法被JavaScript获取(不是绝对,底层抓包可以获取到也可以被覆盖) |
由于cookie保存在客户端的电脑上,所以,JavaScript和jquery也可以操作cookie。
1 <script src='/static/js/jquery.cookie.js'></script> 2 $.cookie("list_pager_num", 30,{ path: '/' });
Session
Django中默认支持Session,其内部提供了5种类型的Session供开发者使用:
- 数据库(默认)
- 缓存
- 文件
- 缓存+数据库
- 加密cookie
1、数据库Session
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
|
Django默认支持Session,并且默认是将Session数据存储在数据库中,即:django_session 表中。a. 配置 settings.py SESSION_ENGINE = 'django.contrib.sessions.backends.db' # 引擎(默认) SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认) SESSION_COOKIE_PATH = "/" # Session的cookie保存的路径(默认) SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默认) SESSION_COOKIE_SECURE = False # 是否Https传输cookie(默认) SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输(默认) SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默认) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期(默认) SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存(默认)b. 使用 def index(request): # 获取、设置、删除Session中数据 request.session['k1'] request.session.get('k1',None) request.session['k1'] = 123 request.session.setdefault('k1',123) # 存在则不设置 del request.session['k1'] # 所有 键、值、键值对 request.session.keys() request.session.values() request.session.items() request.session.iterkeys() request.session.itervalues() request.session.iteritems() # 用户session的随机字符串 request.session.session_key # 将所有Session失效日期小于当前日期的数据删除 request.session.clear_expired() # 检查 用户session的随机字符串 在数据库中是否 request.session.exists("session_key") # 删除当前用户的所有Session数据 request.session.delete("session_key") request.session.set_expiry(value) * 如果value是个整数,session会在些秒数后失效。 * 如果value是个datatime或timedelta,session就会在这个时间后失效。 * 如果value是0,用户关闭浏览器session就会失效。 * 如果value是None,session会依赖全局session失效策略。 |
2、缓存Session
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
|
a. 配置 settings.py SESSION_ENGINE = 'django.contrib.sessions.backends.cache' # 引擎 SESSION_CACHE_ALIAS = 'default' # 使用的缓存别名(默认内存缓存,也可以是memcache),此处别名依赖缓存的设置 SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路径 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名 SESSION_COOKIE_SECURE = False # 是否Https传输cookie SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期 SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存b. 使用 同上 |
3、文件Session
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
a. 配置 settings.py SESSION_ENGINE = 'django.contrib.sessions.backends.file' # 引擎 SESSION_FILE_PATH = None # 缓存文件路径,如果为None,则使用tempfile模块获取一个临时地址tempfile.gettempdir() # 如:/var/folders/d3/j9tj0gz93dg06bmwxmhh6_xm0000gn/T SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路径 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名 SESSION_COOKIE_SECURE = False # 是否Https传输cookie SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http传输 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否关闭浏览器使得Session过期 SESSION_SAVE_EVERY_REQUEST = False # 是否每次请求都保存Session,默认修改之后才保存b. 使用 同上 |
4、缓存+数据库Session
|
1
2
3
4
5
6
7
8
9
|
数据库用于做持久化,缓存用于提高效率a. 配置 settings.py SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db' # 引擎b. 使用 同上 |
5、加密cookie Session
|
1
2
3
4
5
6
7
|
a. 配置 settings.py SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies' # 引擎b. 使用 同上 |
扩展:Session用户验证
1 def login(func): 2 def wrap(request, *args, **kwargs): 3 # 如果未登陆,跳转到指定页面 4 if request.path == '/test/': 5 return redirect('http://www.baidu.com') 6 return func(request, *args, **kwargs) 7 return wrap
分页
一、Django内置分页
1 from django.shortcuts import render 2 from django.core.paginator import Paginator, EmptyPage, PageNotAnInteger 3 4 L = [] 5 for i in range(999): 6 L.append(i) 7 8 def index(request): 9 current_page = request.GET.get('p') 10 11 paginator = Paginator(L, 10) 12 # per_page: 每页显示条目数量 13 # count: 数据总个数 14 # num_pages:总页数 15 # page_range:总页数的索引范围,如: (1,10),(1,200) 16 # page: page对象 17 try: 18 posts = paginator.page(current_page) 19 # has_next 是否有下一页 20 # next_page_number 下一页页码 21 # has_previous 是否有上一页 22 # previous_page_number 上一页页码 23 # object_list 分页之后的数据列表 24 # number 当前页 25 # paginator paginator对象 26 except PageNotAnInteger: 27 posts = paginator.page(1) 28 except EmptyPage: 29 posts = paginator.page(paginator.num_pages) 30 return render(request, 'index.html', {'posts': posts})
1 <!DOCTYPE html> 2 <html> 3 <head lang="en"> 4 <meta charset="UTF-8"> 5 <title></title> 6 </head> 7 <body> 8 <ul> 9 {% for item in posts %} 10 <li>{{ item }}</li> 11 {% endfor %} 12 </ul> 13 14 <div class="pagination"> 15 <span class="step-links"> 16 {% if posts.has_previous %} 17 <a href="?p={{ posts.previous_page_number }}">Previous</a> 18 {% endif %} 19 <span class="current"> 20 Page {{ posts.number }} of {{ posts.paginator.num_pages }}. 21 </span> 22 {% if posts.has_next %} 23 <a href="?p={{ posts.next_page_number }}">Next</a> 24 {% endif %} 25 </span> 26 27 </div> 28 </body> 29 </html>
1 from django.shortcuts import render 2 from django.core.paginator import Paginator, EmptyPage, PageNotAnInteger 3 4 5 class CustomPaginator(Paginator): 6 def __init__(self, current_page, max_pager_num, *args, **kwargs): 7 """ 8 :param current_page: 当前页 9 :param max_pager_num:最多显示的页码个数 10 :param args: 11 :param kwargs: 12 :return: 13 """ 14 self.current_page = int(current_page) 15 self.max_pager_num = max_pager_num 16 super(CustomPaginator, self).__init__(*args, **kwargs) 17 18 def page_num_range(self): 19 # 当前页面 20 # self.current_page 21 # 总页数 22 # self.num_pages 23 # 最多显示的页码个数 24 # self.max_pager_num 25 print(1) 26 if self.num_pages < self.max_pager_num: 27 return range(1, self.num_pages + 1) 28 print(2) 29 part = int(self.max_pager_num / 2) 30 if self.current_page - part < 1: 31 return range(1, self.max_pager_num + 1) 32 print(3) 33 if self.current_page + part > self.num_pages: 34 return range(self.num_pages + 1 - self.max_pager_num, self.num_pages + 1) 35 print(4) 36 return range(self.current_page - part, self.current_page + part + 1) 37 38 39 L = [] 40 for i in range(999): 41 L.append(i) 42 43 def index(request): 44 current_page = request.GET.get('p') 45 paginator = CustomPaginator(current_page, 11, L, 10) 46 # per_page: 每页显示条目数量 47 # count: 数据总个数 48 # num_pages:总页数 49 # page_range:总页数的索引范围,如: (1,10),(1,200) 50 # page: page对象 51 try: 52 posts = paginator.page(current_page) 53 # has_next 是否有下一页 54 # next_page_number 下一页页码 55 # has_previous 是否有上一页 56 # previous_page_number 上一页页码 57 # object_list 分页之后的数据列表 58 # number 当前页 59 # paginator paginator对象 60 except PageNotAnInteger: 61 posts = paginator.page(1) 62 except EmptyPage: 63 posts = paginator.page(paginator.num_pages) 64 65 return render(request, 'index.html', {'posts': posts})
1 <!DOCTYPE html> 2 <html> 3 <head lang="en"> 4 <meta charset="UTF-8"> 5 <title></title> 6 </head> 7 <body> 8 9 <ul> 10 {% for item in posts %} 11 <li>{{ item }}</li> 12 {% endfor %} 13 </ul> 14 15 <div class="pagination"> 16 <span class="step-links"> 17 {% if posts.has_previous %} 18 <a href="?p={{ posts.previous_page_number }}">Previous</a> 19 {% endif %} 20 21 {% for i in posts.paginator.page_num_range %} 22 <a href="?p={{ i }}">{{ i }}</a> 23 {% endfor %} 24 25 {% if posts.has_next %} 26 <a href="?p={{ posts.next_page_number }}">Next</a> 27 {% endif %} 28 </span> 29 30 <span class="current"> 31 Page {{ posts.number }} of {{ posts.paginator.num_pages }}. 32 </span> 33 34 </div> 35 </body> 36 </html>
二、自定义分页
分页功能在每个网站都是必要的,对于分页来说,其实就是根据用户的输入计算出应该在数据库表中的起始位置。
1、设定每页显示数据条数
2、用户输入页码(第一页、第二页...)
3、根据设定的每页显示条数和当前页码,计算出需要取数据表的起始位置
4、在数据表中根据起始位置取值,页面上输出数据
需求又来了,需要在页面上显示分页的页面。如:[上一页][1][2][3][4][5][下一页]
1、设定每页显示数据条数
2、用户输入页码(第一页、第二页...)
3、设定显示多少页号
4、获取当前数据总条数
5、根据设定显示多少页号和数据总条数计算出,总页数
6、根据设定的每页显示条数和当前页码,计算出需要取数据表的起始位置
7、在数据表中根据起始位置取值,页面上输出数据
8、输出分页html,如:[上一页][1][2][3][4][5][下一页]
1 #!/usr/bin/env python 2 # _*_coding:utf-8_*_ 3 from django.utils.safestring import mark_safe 4 5 class PageInfo(object): 6 def __init__(self,current,totalItem,peritems=5): 7 self.__current=current 8 self.__peritems=peritems 9 self.__totalItem=totalItem 10 def From(self): 11 return (self.__current-1)*self.__peritems 12 def To(self): 13 return self.__current*self.__peritems 14 def TotalPage(self): #总页数 15 result=divmod(self.__totalItem,self.__peritems) 16 if result[1]==0: 17 return result[0] 18 else: 19 return result[0]+1 20 21 def Custompager(baseurl,currentPage,totalpage): #基础页,当前页,总页数 22 perPager=11 23 #总页数<11 24 #0 -- totalpage 25 #总页数>11 26 #当前页大于5 currentPage-5 -- currentPage+5 27 #currentPage+5是否超过总页数,超过总页数,end就是总页数 28 #当前页小于5 0 -- 11 29 begin=0 30 end=0 31 if totalpage <= 11: 32 begin=0 33 end=totalpage 34 else: 35 if currentPage>5: 36 begin=currentPage-5 37 end=currentPage+5 38 if end > totalpage: 39 end=totalpage 40 else: 41 begin=0 42 end=11 43 pager_list=[] 44 if currentPage<=1: 45 first="<a href=''>首页</a>" 46 else: 47 first="<a href='%s%d'>首页</a>" % (baseurl,1) 48 pager_list.append(first) 49 50 if currentPage<=1: 51 prev="<a href=''>上一页</a>" 52 else: 53 prev="<a href='%s%d'>上一页</a>" % (baseurl,currentPage-1) 54 pager_list.append(prev) 55 56 for i in range(begin+1,end+1): 57 if i == currentPage: 58 temp="<a href='%s%d' class='selected'>%d</a>" % (baseurl,i,i) 59 else: 60 temp="<a href='%s%d'>%d</a>" % (baseurl,i,i) 61 pager_list.append(temp) 62 if currentPage>=totalpage: 63 next="<a href='#'>下一页</a>" 64 else: 65 next="<a href='%s%d'>下一页</a>" % (baseurl,currentPage+1) 66 pager_list.append(next) 67 if currentPage>=totalpage: 68 last="<a href=''>末页</a>" 69 else: 70 last="<a href='%s%d'>末页</a>" % (baseurl,totalpage) 71 pager_list.append(last) 72 result=''.join(pager_list) 73 return mark_safe(result) #把字符串转成html语言
总结,分页时需要做三件事:
- 创建处理分页数据的类
- 根据分页数据获取数据
- 输出分页HTML,即:[上一页][1][2][3][4][5][下一页]
浙公网安备 33010602011771号