64 装饰器函数: 母版 csrf防御机制 cookie

Posted gyh412724

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了64 装饰器函数: 母版 csrf防御机制 cookie相关的知识,希望对你有一定的参考价值。

主要内容:

1: 装饰器函数

  a: 原理: 在不改变原函数的代码和调用方式的情况下, 给函数动态的添加功能

  b: 实例:

装饰器的原理:
def yue(tools):
    print(‘使用%s约一约‘ % tools)
def wrapper(fn):
    def inner(*args, **kwargs):
        print(‘先准备好钱‘)
        fn(*args, **kwargs)
    return inner
yue = wrapper(yue)
yue(‘momo‘)  # 实际执行inner函数 , 给inner函数传参数, 要给inner函数设置形参, 即普遍协程万能参数的形式,

  装饰器函数形式

def wrapper(fn):
    def inner(*args, **kwargs):
        print(‘先准备好钱‘)
        ret = fn(*args, **kwargs)   # 如果函数有返回值用ret接, 再返回.
        return ret
    return inner
@wrapper  # 相当于执行yue = wrapper(yue)
def yue(tools):
    print(‘使用%s约一约‘ % tools)
    return ‘准备好了‘
print(yue(‘momo‘))

2 母版继承

  a : 作用: 可以减少代码量, 优化代码, 提高代码的复用性 类似于函数中的继承. (把相同的代码段提取出来, 不同的地方作为补充)

  b : {% extends ‘被继承的.html文件‘ %}

    {% block contenter %}{% endblock %}

  c : 实例

    母版文件

<!DOCTYPE html>
<html lang="en">
<head>	
    <meta charset="UTF-8">	
    <title>Document</title>
</head>
<body>   
 <!-- 需要母版进行替换的.html文件 -->   
 {% block page-main %}   
 {% endblock %}
</body>
</html>

    继承母版文件的.html

<!-- 继承母版文件.html -->
{% extends "被继承.html文件路径" %}
 
{% block page-main %} <!-- page-main 是要被替换的块名,可以更改 -->
 
内容
 
{% endblock %}
在 views.py 中配置

3 csrf:  (Cross-site request forgery)跨网站请求伪造

  详细介绍:https://www.cnblogs.com/freely/p/6928822.html

  a : 原理如下图

技术分享图片

    从上图可以看出, 要完成一次的csrf攻击, 受害者必须完成两个步骤:

      1. 登录受信任网站a, 并在本地生成cookie.

      2. 在不退出a的情况, 访问危险网站b.

    注意: 并不是退出a后再登录b就没事, 应为不能保证你关闭了浏览器后, 你本地的cookie就会过期, 你上次的会话已经结束

  b : crsf 防御机制

    1  可以从服务端和客户端两方面着手, 防御效果从服务端着手较好, 现在一般的csrf防御也在服务端进行.

    2   Django下的csrf防御机制:Django第一次响应来自某个客户端的请求时, 会在服务端随机生成一个token, 把这个token放在cookie里, 然后每次post请求都会带上这个token这样就可以避免csrf攻击.

      在 templete 中, 为每个 POST form 增加一个 {% csrf_token %} tag. 如下: 

        1在返回的 HTTP 响应的 cookie 里,django 会为你添加一个 csrftoken 字段,其值为一个自动生成的 token,在检查下的network中查看.

        2在所有的 POST 表单模板中,加一个{% csrf_token %} 标签,它的功能其实是给form增加一个隐藏的input标签,如下

          <input type="hidden" name="csrfmiddlewaretoken" value="{{ csrf_token }}">,而这个csrf_token = cookie.csrftoken,在渲染模板时context中有       context[‘csrf_token‘] = request.COOKIES[‘csrftoken‘]

        3在通过表单发送POST到服务器时,表单中包含了上面隐藏了crsrmiddlewaretoken这个input项,服务端收到后,django 会验证这个请求的 cookie 里的 csrftoken 字段的值和提交的表单里的 csrfmiddlewaretoken 字段的值是否一样。如果一样,则表明这是一个合法的请求,否则,这个请求可能是来自于别人的 csrf 攻击,返回 403 Forbidden.

        4在通过 ajax 发送POST请求到服务器时,要求增加一个x-csrftoken header,其值为 cookie 里的 csrftoken 的值,服务湍收到后,django会验证这个请求的cookie里的csrftoken字段与ajax post消息头中的x-csrftoken header是否相同,如果相同,则表明是一个合法的请求

4  cookie(储存在用户本地终端上的数据)

  定义:在 Internet 中,Cookie 实际上是指小量信息,是由 Web 服务器创建的,将信息存储在用户计算机上的文件。一般网络用户习惯用其复数形式 Cookies,指某些网站为了辨别用户身份、进行 Session 跟踪而存储在用户本地终端上的数据,而这些数据通常会经过加密处理

  目的: 为了让用户在访问某网站时,进一步提高访问速度,同时也为了进一步实现个人化网络,发明了今天广泛使用的 Cookiee.

 

    

 

 

 

  

以上是关于64 装饰器函数: 母版 csrf防御机制 cookie的主要内容,如果未能解决你的问题,请参考以下文章

什么是CSRF跨站请求伪造?(from表单效验csrf-ajdax效验csrf-Ajax设置csrf-CBV装饰器验证csrf)

前后端分离架构下 CSRF 防御机制

csrf_exempt装饰器在基于Dajngo函数的视图中不起作用

第712期前后端分离架构下CSRF防御机制

技术分享Cookie-Form型CSRF防御机制的不足与反思

Strut2 采用token机制防御CSRF同时也可以防止表单重复提交