網(wǎng)站首頁 編程語言 正文
jinja2介紹
Jinja2:是 Python 下一個被廣泛應用的模板引擎,是由Python實現(xiàn)的模板語言,他的設計思想來源于 Django 的模板引擎,并擴展了其語法和一系列強大的功能,尤其是Flask框架內(nèi)置的模板語言
由于django默認模板引擎功能不齊全,速度慢,所以我們也可以在Django中使用jinja2, jinja2宣稱比django默認模板引擎快10-20倍。
Django主流的第三方APP基本上也都同時支持Django默認模板及jinja2,所以要用jinja2也不會有多少障礙。
安裝jinja2模塊
pip install jinja2
Django配置jinja2
1.在項目文件中創(chuàng)建 jinja2_env.py 文件
from jinja2 import Environment
def environment(**options):
env = Environment(**options)
return env2.在settings.py文件
TEMPLATES = [
{
'BACKEND': 'django.template.backends.jinja2.Jinja2',#修改1
'DIRS': [os.path.join(BASE_DIR, 'templates')],
'APP_DIRS':True,
'OPTIONS':{
'environment': 'jinja2_env.environment',# 修改2
'context_processors':[
'django.template.context_processors.debug',
'django.template.context_processors.request',
'django.contrib.auth.context_processors.auth',
'django.contrib.messages.context_processors.messages',
],
},
},
]jinja2模板的使用絕大多數(shù)和Django自帶模板一樣
jinja2自定義過濾器
Django文檔
在jinja2_env.py文件中自定義過濾器
from jinja2 import Environment
def environment(**options):
env = Environment(**options)
# 2.將自定義的過濾器添加到 環(huán)境中
env.filters['do_listreverse'] = do_listreverse
return env
# 1.自定義過濾器
def do_listreverse(li):
if li == "B":
return "哈哈"CSRF
CSRF全拼為Cross Site Request Forgery,譯為跨站請求偽造。
CSRF指攻擊者盜用了你的身份,以你的名義發(fā)送惡意請求。
- 包括:以你名義發(fā)送郵件,發(fā)消息,盜取你的賬號,甚至于購買商品,虛擬貨幣轉賬......
造成的問題:個人隱私泄露以及財產(chǎn)安全。
CSRF攻擊示意圖
客戶端訪問服務器時沒有同服務器做安全驗證
防止 CSRF 攻擊
步驟
- 在客戶端向后端請求界面數(shù)據(jù)的時候,后端會往響應中的 cookie 中設置 csrf_token 的值
- 在 Form 表單中添加一個隱藏的的字段,值也是 csrf_token
- 在用戶點擊提交的時候,會帶上這兩個值向后臺發(fā)起請求
- 后端接受到請求,以會以下幾件事件:
- 從 cookie中取出 csrf_token
- 從 表單數(shù)據(jù)中取出來隱藏的 csrf_token 的值
- 進行對比
- 如果比較之后兩值一樣,那么代表是正常的請求,如果沒取到或者比較不一樣,代表不是正常的請求,不執(zhí)行下一步操作
代碼演示
未進行 csrf 校驗的 WebA
后端代碼實現(xiàn)
#定義路由
from django.conf.urls import url
from pay import views
urlpatterns = [
url(r'^$',views.LoginView.as_view(),name='index'), #登錄路由
url(r'^transfer/$',views.TransferView.as_view(),name='transfer'), #轉賬路由
]
#定義視圖
class LoginView(View):
def post(self,request):
# 取到表單中提交上來的參數(shù)
username = request.POST.get("username")
password = request.POST.get("password")
if not all([username, password]):
print('參數(shù)錯誤')
else:
print(username, password)
if username == 'laowang' and password == '1234':
# 狀態(tài)保持,設置用戶名到cookie中表示登錄成功
response = redirect(reverse('transfer'))
response.set_cookie('username', username)
return response
else:
print('密碼錯誤')
return render(request,'login.html')
def get(self,request):
return render(request,'login.html')
class TransferView(View):
def post(self,request):
# 從cookie中取到用戶名
username = request.COOKIES.get('username', None)
# 如果沒有取到,代表沒有登錄
if not username:
return redirect(reverse('index'))
to_account = request.POST.get("to_account")
money = request.POST.get("money")
print('假裝執(zhí)行轉操作,將當前登錄用戶的錢轉賬到指定賬戶')
return HttpResponse('轉賬 %s 元到 %s 成功' % (money, to_account))
def get(self, request):
# 渲染轉換頁面
response = render(request, 'transfer.html')
return response前端登錄頁面代碼
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登錄</title>
</head>
<body>
<h1>我是網(wǎng)站A,登錄頁面</h1>
<form method="post">
<label>用戶名:</label><input type="text" name="username" placeholder="請輸入用戶名"><br/>
<label>密碼:</label><input type="password" name="password" placeholder="請輸入密碼"><br/>
<input type="submit" value="登錄">
</form>
</body>
</html>前端轉賬頁面代碼
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>轉賬</title>
</head>
<body>
<h1>我是網(wǎng)站A,轉賬頁面</h1>
<form method="post">
<label>賬戶:</label><input type="text" name="to_account" placeholder="請輸入要轉賬的賬戶"><br/>
<label>金額:</label><input type="number" name="money" placeholder="請輸入轉賬金額"><br/>
<input type="submit" value="轉賬">
</form>
</body>
</html>運行測試,如果在未登錄的情況下,不能直接進入轉賬頁面,測試轉賬是成功的
攻擊網(wǎng)站B的代碼
后端代碼實現(xiàn)
#定義路由
from django.conf.urls import url
from ads import views
urlpatterns = [
url(r'^$',views.AdsView.as_view()),
]
#定義視圖
class AdsView(View):
def get(self,request):
return render(request,'index.html')前端代碼實現(xiàn)
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>我是網(wǎng)站B</h1>
<form method="post" action="http://127.0.0.1:9000/transfer/">
<input type="hidden" name="to_account" value="黑客">
<input type="hidden" name="money" value="190000" hidden>
<input type="submit" value="點擊領取優(yōu)惠券">
</form>
</body>
</html>運行測試,在用戶登錄網(wǎng)站A的情況下,點擊網(wǎng)站B的按鈕,可以實現(xiàn)偽造訪問
在網(wǎng)站A中實現(xiàn) csrf_token 校驗的流程 導入生成 csrf_token 的函數(shù)
from django.middleware.csrf import get_token csrf_token = get_token(request)
在渲染轉賬頁面的,做以下幾件事情:
- 生成 csrf_token 的值
- 在返回轉賬頁面的響應里面設置 csrf_token 到 cookie 中
- 將 csrf_token 保存到表單的隱藏字段中
def get(self, request):
# 生成csrf_token
from django.middleware.csrf import get_token
csrf_token = get_token(request)
# 渲染轉換頁面,傳入 csrf_token 到模板中
response = render(request, 'transfer.html',context={'csrf_token':csrf_token})
# 設置csrf_token到cookie中,用于提交校驗
response.set_cookie('csrf_token', csrf_token)
return response在轉賬模板表單中添加 csrf_token 隱藏字段
<head>
<meta charset="UTF-8">
<title>轉賬</title>
</head>
<body>
<h1>我是網(wǎng)站A,轉賬頁面</h1>
<form method="post">
<input type="hidden" name="csrftoken" value="{{ csrf_token }}">
<label>賬戶:</label><input type="text" name="to_account" placeholder="請輸入對方賬戶"><br/>
<label>金額:</label><input type="number" name="money" placeholder="請輸入轉賬金額"><br/>
<input type="submit" value="轉賬">
</form>
</body>
</html>運行測試,進入到轉賬頁面之后,查看 cookie 和 html 源代碼
在執(zhí)行轉賬邏輯之前進行 csrf_token 的校驗
# 取出表單中的 csrf_token
form_csrf_token = request.POST.get("csrftoken")
# 取出 cookie 中的 csrf_token
cookie_csrf_token = request.COOKIES.get('csrf_token')
# 進行對比
if cookie_csrf_token != form_csrf_token:
return HttpResponse('token校驗失敗,可能是非法操作')運行測試,用戶直接在網(wǎng)站 A 操作沒有問題,再去網(wǎng)站B進行操作,發(fā)現(xiàn)轉賬不成功,因為網(wǎng)站 B 獲取不到表單中的 csrf_token 的隱藏字段,而且瀏覽器有同源策略,網(wǎng)站B是獲取不到網(wǎng)站A的 cookie 的,所以就解決了跨站請求偽造的問題
在 Django項目中解決 CSRF 攻擊
Django默認是開啟CSRF的
模板中設置 CSRF 令牌
{% csrf_token %}
或者
<input type="hidden" value="{{ csrf_token }}">原文鏈接:https://blog.csdn.net/weixin_43894652/article/details/129135180
- 上一篇:沒有了
- 下一篇:沒有了
相關推薦
- 2022-05-24 python中的元組與列表及元組的更改_python
- 2022-06-15 golang?Gin上傳文件返回前端及中間件實現(xiàn)示例_Golang
- 2022-07-12 Spring Boot項目下JPA自定義雪花算法ID生成器詳解
- 2022-09-23 Shell腳本函數(shù)傳遞參數(shù)的實現(xiàn)方法_linux shell
- 2022-03-19 linux修改文件所屬用戶和組的實例方法_Linux
- 2023-03-21 Mongodb?用戶權限管理及配置詳解_MongoDB
- 2023-07-15 react+antd+table實現(xiàn)表格數(shù)據(jù)在當前頁從頭到尾循環(huán)滾動展示
- 2022-06-28 C#二分查找算法_C#教程
- 欄目分類
-
- 最近更新
-
- window11 系統(tǒng)安裝 yarn
- 超詳細win安裝深度學習環(huán)境2025年最新版(
- Linux 中運行的top命令 怎么退出?
- MySQL 中decimal 的用法? 存儲小
- get 、set 、toString 方法的使
- @Resource和 @Autowired注解
- Java基礎操作-- 運算符,流程控制 Flo
- 1. Int 和Integer 的區(qū)別,Jav
- spring @retryable不生效的一種
- Spring Security之認證信息的處理
- Spring Security之認證過濾器
- Spring Security概述快速入門
- Spring Security之配置體系
- 【SpringBoot】SpringCache
- Spring Security之基于方法配置權
- redisson分布式鎖中waittime的設
- maven:解決release錯誤:Artif
- restTemplate使用總結
- Spring Security之安全異常處理
- MybatisPlus優(yōu)雅實現(xiàn)加密?
- Spring ioc容器與Bean的生命周期。
- 【探索SpringCloud】服務發(fā)現(xiàn)-Nac
- Spring Security之基于HttpR
- Redis 底層數(shù)據(jù)結構-簡單動態(tài)字符串(SD
- arthas操作spring被代理目標對象命令
- Spring中的單例模式應用詳解
- 聊聊消息隊列,發(fā)送消息的4種方式
- bootspring第三方資源配置管理
- GIT同步修改后的遠程分支
提供CDN加速