Django之Form、CSRF、cookie和session
Django是一個大而全的web框架,為我們提供了很多實用的功能,本文主要介紹Form、CSRF、cookie和session
一、Form
在web頁面中form表單是重要的組成部分,為了數據安全和減少後臺服務器的壓力,通常我們在前端會對form表單進行數據合法性驗證,但即使這樣,後臺的數據驗證依然是必須不可省略的,原因很簡單前端數據可以被偽造或js直接被禁用。
Django內置了一個強大的Form功能,幫我們快速自定義後臺數據驗證,它的形式非常類似model類的定義方法,並且兩者也具有內在聯系。
1.數據合法性驗證
在app中新建form.py文件,開始寫我們的form表單類:
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 |
#!/usr/bin/env python
# -*- coding:utf-8 -*-
import re
from django import forms
from django.core.exceptions import ValidationError
def mobile_validate(value):
mobile_re = re.compile(r‘^(13[0-9]|15[012356789]|17[678]|18[0-9]|14[57])[0-9]{8}$‘)
if not mobile_re.match(value):
raise ValidationError(‘手機號碼格式錯誤‘)
class PublishForm(forms.Form):
user_type_choice = (
(0, u‘普通用戶‘),
(1, u‘高級用戶‘),
)
user_type = forms.IntegerField(widget=forms.widgets.Select(choices=user_type_choice,
attrs={‘class‘: "form-control"}))
title = forms.CharField(max_length=20,
min_length=5,
error_messages={‘required‘: u‘標題不能為空‘,
‘min_length‘: u‘標題最少為5個字符‘,
‘max_length‘: u‘標題最多為20個字符‘},
widget=forms.TextInput(attrs={‘class‘: "form-control",
‘placeholder‘: u‘標題5-20個字符‘}))
memo = forms.CharField(required=False,
max_length=256,
widget=forms.widgets.Textarea(attrs={‘class‘: "form-control no-radius", ‘placeholder‘: u‘詳細描述‘, ‘rows‘: 3}))
phone = forms.CharField(validators=[mobile_validate, ],
error_messages={‘required‘: u‘手機不能為空‘},
widget=forms.TextInput(attrs={‘class‘: "form-control",
‘placeholder‘: u‘手機號碼‘}))
email = forms.EmailField(required=False,
error_messages={‘required‘: u‘郵箱不能為空‘,‘invalid‘: u‘郵箱格式錯誤‘},
widget=forms.TextInput(attrs={‘class‘: "form-control", ‘placeholder‘: u‘郵箱‘}))
|
具體解釋看下圖:
要點:
1.導入兩個模塊,繼承forms.Form類;
2.名字以及field類型一定要和models數據庫的類中的字段名一樣,這樣才方便存入數據
3.類似maxlength一類的參數一定要是數據庫中的一致,不能發生沖突。
4.可以通過error_messages自定義中文錯誤信息
5.可以通過widget定制CSS中的class,屬性等等,美化全靠它
6.內置檢驗功能如果不夠用,可以自定義。自定義方法的調用,參考phone部分的代碼。
form類寫好了,就要在views裏使用它:
| 1 2 3 4 5 6 7 8 9 10 11 12 |
def publish(request):
ret = {‘status‘: False, ‘data‘: ‘‘, ‘error‘: ‘‘, ‘summary‘: ‘‘}
if request.method == ‘POST‘:
request_form = PublishForm(request.POST)
if request_form.is_valid():
request_dict = request_form.clean()
print request_dict
ret[‘status‘] = True
else:
error_msg = request_form.errors.as_json()
ret[‘error‘] = json.loads(error_msg)
return HttpResponse(json.dumps(ret))
|
詳細解釋:
erros是驗證錯誤的提示信息,as_json()方法是將它轉換成json格式。
實際上,可以通過data = cleaned_data()方法獲取數據字典,然後,models.類名(**data)直接將數據傳遞給數據庫進行保存,節省了大量的代碼。
2. 自動生成html中的form元素
實際上form可以自動幫你在html文件中生成form表單元素(註意:不會生成<form>標簽),省去了你一部分前端的工作,但同時也帶來CSS和JS的麻煩。
就不上圖了,具體使用方法:
1. views裏生成一個form類的實例: obj = Book()
2.把這個實例當做參數傳遞給render方法:render(request, "xxx.html", {"book_form":obj})
3.在xxx.html中運用Django的模板語言進行編寫,這個時候的book_form其實就是一個字典。
你可以簡單的使用{{book_form}},樣子會讓你醜到哭,也可以使用額外的class和attr,這就需要你來回的在前後端之間進行倒騰。
3. 利用ModelForm表單
實際上Django為了懶惰的你,提供了進一步的form表單封裝,你可以直接使用你在model數據庫表類中寫的class創建form類,這樣你的form類和model類就保持了一致,
數據存儲方便快捷。
1 class AdminModelForm(forms.ModelForm):
2
3 class Meta:
4 model = models.Admin
5 #fields = ‘__all__‘
6 fields = (‘username‘, ‘email‘)
7
8 widgets = {
9 ‘email‘ : forms.PasswordInput(attrs={‘class‘:"alex"}),
10 }
要點:
1.註意繼承了哪個類
2.註意類裏又建立了個Meta類
3.註意model = models.Admin 中model是固定的,models代表你的數據庫模型哪個文件,Admin則是models裏你想form驗證的類。
4. fields = (‘username‘, ‘email‘)不能省略,還可以exclude=(xxxx),用於排除某些字段
5. widgets是具體的設置
6.最後提交數據的時候,甚至只需要簡單的save()一下就可以將數據保存到數據庫裏。
7.去讀官方文檔吧,技術細節在需要的時候才去查看,你根本記不過來的!
二、CSRF
(1)開啟CSRF功能
CSRF:跨站請求偽造。一種簡單的web訪問安全機制,拒絕接受未經授權的數據請求,常針對表單POST。
正常的情況下,第一次訪問頁面時,服務器會返回一條隨機字符串給用戶,用戶下次提交表單時,攜帶該字符串就可以通過CSRF的判定了。
django內置了防止跨站請求偽造的功能,默認開啟。通過中間件 django.middleware.csrf.CsrfViewMiddleware 來完成,
註釋settings中的該行則關閉該功能,但是通過下面的裝飾器依然可以指定。
django中設置防跨站請求偽造功能分為全局設置和局部設置。其實就是你可以一股腦全拒絕或全接受,也可以設置例外的。
全局:
中間件 django.middleware.csrf.CsrfViewMiddleware
局部:(就是給要列外的函數加個裝飾器)
- @csrf_protect,為當前函數強制設置防跨站請求偽造功能,即便settings中沒有設置全局中間件。
- @csrf_exempt,取消當前函數防跨站請求偽造功能,即便settings中設置了全局中間件。
註:需要導入from django.views.decorators.csrf import csrf_exempt,csrf_protect
(2)使用
對於普通的form標簽post的時候:在<form></form>的範圍內添加{% csrf_token %}就可以了。只要你學透了django的框架本質,這種
方法的原理就很容易明白,自己就能看懂。
但是上面的方法對於使用ajax發送表單數據的方式來說就行不通了,原因很簡單,ajax發送什麽都需要你自己指定,
它和django之間沒有直接的交換csrf那串字符串的“通道”。因此,就比較費勁了,需要通過cookie的幫助。
下面是django官方提供的解決辦法,不要研究為什麽這麽做,因為這是djanggo相關的,你直接copy過去用,一個字符都別改。
首先下載插件jquery.cookie.js.
在views文件裏這麽寫:
1 from django.template.context import RequestContext 2 # Create your views here. 3 4 5 def test(request): 6 7 if request.method == ‘POST‘: 8 return HttpResponse(‘ok‘) 9 return render_to_response(‘app01/test.html‘,context_instance=RequestContext(request))
1 from django.template.context import RequestContext 2 # Create your views here. 3 4 5 def test(request): 6 7 if request.method == ‘POST‘: 8 return HttpResponse(‘ok‘) 9 return render_to_response(‘app01/test.html‘,context_instance=RequestContext(request))
這是用來在get的時候返回csrf字符串的。
在html文件中這麽寫:
1 !DOCTYPE html>
2 <html>
3 <head lang="en">
4 <meta charset="UTF-8">
5 <title></title>
6 </head>
7 <body>
8 {% csrf_token %}
9
10 <input type="button" onclick="Do();" value="Do it"/>
11
12 <script src="/static/plugin/jquery/jquery-1.8.0.js"></script>
13 <script src="/static/plugin/jquery/jquery.cookie.js"></script>
14 <script type="text/javascript">
15 var csrftoken = $.cookie(‘csrftoken‘);
16
17 function csrfSafeMethod(method) {
18 // these HTTP methods do not require CSRF protection
19 return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
20 }
21 $.ajaxSetup({
22 beforeSend: function(xhr, settings) {
23 if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
24 xhr.setRequestHeader("X-CSRFToken", csrftoken);
25 }
26 }
27 });
28 function Do(){
29
30 $.ajax({
31 url:"/app01/test/",
32 data:{id:1},
33 type:‘POST‘,
34 success:function(data){
35 console.log(data);
36 }
37 });
38
39 }
40 </script>
41 </body>
42 </html>
1 !DOCTYPE html>
2 <html>
3 <head lang="en">
4 <meta charset="UTF-8">
5 <title></title>
6 </head>
7 <body>
8 {% csrf_token %}
9
10 <input type="button" onclick="Do();" value="Do it"/>
11
12 <script src="/static/plugin/jquery/jquery-1.8.0.js"></script>
13 <script src="/static/plugin/jquery/jquery.cookie.js"></script>
14 <script type="text/javascript">
15 var csrftoken = $.cookie(‘csrftoken‘);
16
17 function csrfSafeMethod(method) {
18 // these HTTP methods do not require CSRF protection
19 return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
20 }
21 $.ajaxSetup({
22 beforeSend: function(xhr, settings) {
23 if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
24 xhr.setRequestHeader("X-CSRFToken", csrftoken);
25 }
26 }
27 });
28 function Do(){
29
30 $.ajax({
31 url:"/app01/test/",
32 data:{id:1},
33 type:‘POST‘,
34 success:function(data){
35 console.log(data);
36 }
37 });
38
39 }
40 </script>
41 </body>
42 </html>
更多參考官網:https://docs.djangoproject.com/en/dev/ref/csrf/#ajax
三、cookie
cookie就是“小餅幹”,是偷偷在你的計算機裏存放的一些網站相關的信息。
它很不安全,是經常被攻擊的對象,也是泄露個人重要信息的重災區,因此,你在設計web頁面時,請不要往cookie裏存放敏感信息。
既然這樣,我們直接在瀏覽器裏禁用它得了 !很多人都這麽幹,但是又打開了,為啥?京東、天貓等網站沒有cookie支持你登錄不了的....
cookie還是有一點作用的,而且使用起來很方便。
1、獲取Cookie:
| 1 2 3 4 5 6 |
request.COOKIES[‘key‘]
request.get_signed_cookie(key, default=RAISE_ERROR, salt=‘‘, max_age=None)
參數:
default: 默認值
salt: 加密鹽
max_age: 後臺控制過期時間
|
2、設置Cookie:
| 1 2 3 4 5 6 7 8 9 10 11 12 13 |
rep = HttpResponse(...) 或 rep = render(request, ...)
rep.set_cookie(key,value,...)
rep.set_signed_cookie(key,value,salt=‘加密鹽‘,...)
參數:
key, 鍵
value=‘‘, 值
max_age=None, 超時時間
expires=None, 超時時間(IE requires expires, so set it if hasn‘t been already.)
path=‘/‘, Cookie生效的路徑,/ 表示根路徑,特殊的:跟路徑的cookie可以被任何url的頁面訪問
domain=None, Cookie生效的域名
secure=False, https傳輸
httponly=False 只能http協議傳輸,無法被JavaScript獲取(不是絕對,底層抓包可以獲取到也可以被覆蓋)
|
由於cookie保存在客戶端的電腦上,所以,JavaScript和jquery也可以操作cookie。
| 1 2 |
<script src=‘/static/js/jquery.cookie.js‘></script>
$.cookie("list_pager_num", 30,{ path: ‘/‘ });
|
四、session 會話
Django自帶Session功能,其內部提供了5種類型的Session供開發者使用:
- 數據庫(默認)
- 緩存
- 文件
- 緩存+數據庫
- 加密cookie
本質的區別是什麽?session文件的存放位置!
1、數據庫Session
友情提示:在初期,必須先makemigration,生成django_session表的哦!
1 Django默認是將Session數據存儲在數據庫中,即:django_session 表中。
2
3 a. 配置 settings.py
4
5 SESSION_ENGINE = ‘django.contrib.sessions.backends.db‘ # 引擎(默認)
6
7 SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串(默認)
8 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑(默認)
9 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默認)
10 SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie(默認)
11 SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸(默認)
12 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默認)
13 SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期(默認)
14 SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之後才保存(默認)
15
16
17
18 b. 使用
19
20 def index(request):
21 # 獲取、設置、刪除Session中數據
22 request.session[‘k1‘]
23 request.session.get(‘k1‘,None)
24 request.session[‘k1‘] = 123
25 request.session.setdefault(‘k1‘,123) # 存在則不設置
26 del request.session[‘k1‘]
27
28 # 所有 鍵、值、鍵值對
29 request.session.keys()
30 request.session.values()
31 request.session.items()
32 request.session.iterkeys()
33 request.session.itervalues()
34 request.session.iteritems()
35
36
37 # 用戶session的隨機字符串
38 request.session.session_key
39
40 # 將所有Session失效日期小於當前日期的數據刪除
41 request.session.clear_expired()
42
43 # 檢查 用戶session的隨機字符串 在數據庫中是否
44 request.session.exists("session_key")
45
46 # 刪除當前用戶的所有Session數據
47 request.session.delete("session_key")
1 Django默認是將Session數據存儲在數據庫中,即:django_session 表中。
2
3 a. 配置 settings.py
4
5 SESSION_ENGINE = ‘django.contrib.sessions.backends.db‘ # 引擎(默認)
6
7 SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串(默認)
8 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑(默認)
9 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默認)
10 SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie(默認)
11 SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸(默認)
12 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默認)
13 SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期(默認)
14 SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之後才保存(默認)
15
16
17
18 b. 使用
19
20 def index(request):
21 # 獲取、設置、刪除Session中數據
22 request.session[‘k1‘]
23 request.session.get(‘k1‘,None)
24 request.session[‘k1‘] = 123
25 request.session.setdefault(‘k1‘,123) # 存在則不設置
26 del request.session[‘k1‘]
27
28 # 所有 鍵、值、鍵值對
29 request.session.keys()
30 request.session.values()
31 request.session.items()
32 request.session.iterkeys()
33 request.session.itervalues()
34 request.session.iteritems()
35
36
37 # 用戶session的隨機字符串
38 request.session.session_key
39
40 # 將所有Session失效日期小於當前日期的數據刪除
41 request.session.clear_expired()
42
43 # 檢查 用戶session的隨機字符串 在數據庫中是否
44 request.session.exists("session_key")
45
46 # 刪除當前用戶的所有Session數據
47 request.session.delete("session_key")
2、緩存Session
a. 配置 settings.py
SESSION_ENGINE = ‘django.contrib.sessions.backends.cache‘ # 引擎
SESSION_CACHE_ALIAS = ‘default‘ # 使用的緩存別名(默認內存緩存,也可以是memcache),此處別名依賴緩存的設置
SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串
SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑
SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名
SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie
SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸
SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期
SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之後才保存
b. 使用
同上
a. 配置 settings.py
SESSION_ENGINE = ‘django.contrib.sessions.backends.cache‘ # 引擎
SESSION_CACHE_ALIAS = ‘default‘ # 使用的緩存別名(默認內存緩存,也可以是memcache),此處別名依賴緩存的設置
SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串
SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑
SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名
SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie
SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸
SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期
SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之後才保存
b. 使用
同上
3、文件Session
1 a. 配置 settings.py 2 3 SESSION_ENGINE = ‘django.contrib.sessions.backends.file‘ # 引擎 4 SESSION_FILE_PATH = None # 緩存文件路徑,如果為None,則使用tempfile模塊獲取一個臨時地址tempfile.gettempdir() # 如:/var/folders/d3/j9tj0gz93dg06bmwxmhh6_xm0000gn/T 5 6 7 SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串 8 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑 9 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名 10 SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie 11 SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸 12 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周) 13 SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期 14 SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之後才保存 15 16 b. 使用 17 18 同上
1 a. 配置 settings.py 2 3 SESSION_ENGINE = ‘django.contrib.sessions.backends.file‘ # 引擎 4 SESSION_FILE_PATH = None # 緩存文件路徑,如果為None,則使用tempfile模塊獲取一個臨時地址tempfile.gettempdir() # 如:/var/folders/d3/j9tj0gz93dg06bmwxmhh6_xm0000gn/T 5 6 7 SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串 8 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑 9 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名 10 SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie 11 SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸 12 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周) 13 SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期 14 SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之後才保存 15 16 b. 使用 17 18 同上
4、緩存+數據庫Session
1 數據庫用於做持久化,緩存用於提高效率 2 3 a. 配置 settings.py 4 5 SESSION_ENGINE = ‘django.contrib.sessions.backends.cached_db‘ # 引擎 6 7 b. 使用 8 9 同上
1 數據庫用於做持久化,緩存用於提高效率 2 3 a. 配置 settings.py 4 5 SESSION_ENGINE = ‘django.contrib.sessions.backends.cached_db‘ # 引擎 6 7 b. 使用 8 9 同上
5、加密cookie Session
1 a. 配置 settings.py 2 3 SESSION_ENGINE = ‘django.contrib.sessions.backends.signed_cookies‘ # 引擎 4 5 b. 使用 6 7 同上
1 a. 配置 settings.py 2 3 SESSION_ENGINE = ‘django.contrib.sessions.backends.signed_cookies‘ # 引擎 4 5 b. 使用 6 7 同上
更多參考:https://docs.djangoproject.com/en/1.9/topics/http/sessions/
以及:https://docs.djangoproject.com/en/1.9/ref/settings/#settings-sessions
擴展:Session用戶驗證(將驗證做成個裝飾器,什麽方法需要已登陸為前提,就給它加這頂帽子!)
1 def login(func): 2 def wrap(request, *args, **kwargs): 3 # 如果未登陸,跳轉到指定頁面 4 if request.path == ‘/test/‘: 5 return redirect(‘http://www.baidu.com‘) 6 return func(request, *args, **kwargs) 7 return wrap
1 def login(func): 2 def wrap(request, *args, **kwargs): 3 # 如果未登陸,跳轉到指定頁面 4 if request.path == ‘/test/‘: 5 return redirect(‘http://www.baidu.com‘) 6 return func(request, *args, **kwargs) 7 return wrap
Django之Form、CSRF、cookie和session