Django之Form、CSRF、cookie和session
Django是一個大而全的web框架,為我們提供了很多實用的功能,本文主要介紹Form、CSRF、cookie和session
一、Form
在web頁面中form表單是重要的組成部分,為了數據安全和減少後臺服務器的壓力,通常我們在前端會對form表單進行數據合法性驗證,但即使這樣,後臺的數據驗證依然是必須不可省略的,原因很簡單前端數據可以被偽造或js直接被禁用。
Django內置了一個強大的Form功能,幫我們快速自定義後臺數據驗證,它的形式非常類似model類的定義方法,並且兩者也具有內在聯系。
1.數據合法性驗證
在app中新建form.py文件,開始寫我們的form表單類:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 |
#!/usr/bin/env python
# -*- coding:utf-8 -*-
import re
from django import forms
from django.core.exceptions import ValidationError
def mobile_validate(value):
mobile_re = re. compile (r ‘^(13[0-9]|15[012356789]|17[678]|18[0-9]|14[57])[0-9]{8}$‘ )
if not mobile_re.match(value):
raise ValidationError( ‘手機號碼格式錯誤‘ )
class PublishForm(forms.Form):
user_type_choice = (
( 0 , u ‘普通用戶‘ ),
( 1 , u ‘高級用戶‘ ),
)
user_type = forms.IntegerField(widget = forms.widgets.Select(choices = user_type_choice,
attrs = { ‘class‘ : "form-control" }))
title = forms.CharField(max_length = 20 ,
min_length = 5 ,
error_messages = { ‘required‘ : u ‘標題不能為空‘ ,
‘min_length‘ : u ‘標題最少為5個字符‘ ,
‘max_length‘ : u ‘標題最多為20個字符‘ },
widget = forms.TextInput(attrs = { ‘class‘ : "form-control" ,
‘placeholder‘ : u ‘標題5-20個字符‘ }))
memo = forms.CharField(required = False ,
max_length = 256 ,
widget = forms.widgets.Textarea(attrs = { ‘class‘ : "form-control no-radius" , ‘placeholder‘ : u ‘詳細描述‘ , ‘rows‘ : 3 }))
phone = forms.CharField(validators = [mobile_validate, ],
error_messages = { ‘required‘ : u ‘手機不能為空‘ },
widget = forms.TextInput(attrs = { ‘class‘ : "form-control" ,
‘placeholder‘ : u ‘手機號碼‘ }))
email = forms.EmailField(required = False ,
error_messages = { ‘required‘ : u ‘郵箱不能為空‘ , ‘invalid‘ : u ‘郵箱格式錯誤‘ },
widget = forms.TextInput(attrs = { ‘class‘ : "form-control" , ‘placeholder‘ : u ‘郵箱‘ }))
|
具體解釋看下圖:
要點:
1.導入兩個模塊,繼承forms.Form類;
2.名字以及field類型一定要和models數據庫的類中的字段名一樣,這樣才方便存入數據
3.類似maxlength一類的參數一定要是數據庫中的一致,不能發生沖突。
4.可以通過error_messages自定義中文錯誤信息
5.可以通過widget定制CSS中的class,屬性等等,美化全靠它
6.內置檢驗功能如果不夠用,可以自定義。自定義方法的調用,參考phone部分的代碼。
form類寫好了,就要在views裏使用它:
1 2 3 4 5 6 7 8 9 10 11 12 |
def publish(request):
ret = { ‘status‘ : False , ‘data‘ : ‘ ‘, ‘ error ‘: ‘ ‘, ‘ summary ‘: ‘ ‘}
if request.method = = ‘POST‘ :
request_form = PublishForm(request.POST)
if request_form.is_valid():
request_dict = request_form.clean()
print request_dict
ret[ ‘status‘ ] = True
else :
error_msg = request_form.errors.as_json()
ret[ ‘error‘ ] = json.loads(error_msg)
return HttpResponse(json.dumps(ret))
|
詳細解釋:
erros是驗證錯誤的提示信息,as_json()方法是將它轉換成json格式。
實際上,可以通過data = cleaned_data()方法獲取數據字典,然後,models.類名(**data)直接將數據傳遞給數據庫進行保存,節省了大量的代碼。
2. 自動生成html中的form元素
實際上form可以自動幫你在html文件中生成form表單元素(註意:不會生成<form>標簽),省去了你一部分前端的工作,但同時也帶來CSS和JS的麻煩。
就不上圖了,具體使用方法:
1. views裏生成一個form類的實例: obj = Book()
2.把這個實例當做參數傳遞給render方法:render(request, "xxx.html", {"book_form":obj})
3.在xxx.html中運用Django的模板語言進行編寫,這個時候的book_form其實就是一個字典。
你可以簡單的使用{{book_form}},樣子會讓你醜到哭,也可以使用額外的class和attr,這就需要你來回的在前後端之間進行倒騰。
3. 利用ModelForm表單
實際上Django為了懶惰的你,提供了進一步的form表單封裝,你可以直接使用你在model數據庫表類中寫的class創建form類,這樣你的form類和model類就保持了一致,
數據存儲方便快捷。
1 class AdminModelForm(forms.ModelForm): 2 3 class Meta: 4 model = models.Admin 5 #fields = ‘__all__‘ 6 fields = (‘username‘, ‘email‘) 7 8 widgets = { 9 ‘email‘ : forms.PasswordInput(attrs={‘class‘:"alex"}), 10 }
要點:
1.註意繼承了哪個類
2.註意類裏又建立了個Meta類
3.註意model = models.Admin 中model是固定的,models代表你的數據庫模型哪個文件,Admin則是models裏你想form驗證的類。
4. fields = (‘username‘, ‘email‘)不能省略,還可以exclude=(xxxx),用於排除某些字段
5. widgets是具體的設置
6.最後提交數據的時候,甚至只需要簡單的save()一下就可以將數據保存到數據庫裏。
7.去讀官方文檔吧,技術細節在需要的時候才去查看,你根本記不過來的!
二、CSRF
(1)開啟CSRF功能
CSRF:跨站請求偽造。一種簡單的web訪問安全機制,拒絕接受未經授權的數據請求,常針對表單POST。
正常的情況下,第一次訪問頁面時,服務器會返回一條隨機字符串給用戶,用戶下次提交表單時,攜帶該字符串就可以通過CSRF的判定了。
django內置了防止跨站請求偽造的功能,默認開啟。通過中間件 django.middleware.csrf.CsrfViewMiddleware 來完成,
註釋settings中的該行則關閉該功能,但是通過下面的裝飾器依然可以指定。
django中設置防跨站請求偽造功能分為全局設置和局部設置。其實就是你可以一股腦全拒絕或全接受,也可以設置例外的。
全局:
中間件 django.middleware.csrf.CsrfViewMiddleware
局部:(就是給要列外的函數加個裝飾器)
- @csrf_protect,為當前函數強制設置防跨站請求偽造功能,即便settings中沒有設置全局中間件。
- @csrf_exempt,取消當前函數防跨站請求偽造功能,即便settings中設置了全局中間件。
註:需要導入from django.views.decorators.csrf import csrf_exempt,csrf_protect
(2)使用
對於普通的form標簽post的時候:在<form></form>的範圍內添加{% csrf_token %}就可以了。只要你學透了django的框架本質,這種
方法的原理就很容易明白,自己就能看懂。
但是上面的方法對於使用ajax發送表單數據的方式來說就行不通了,原因很簡單,ajax發送什麽都需要你自己指定,
它和django之間沒有直接的交換csrf那串字符串的“通道”。因此,就比較費勁了,需要通過cookie的幫助。
下面是django官方提供的解決辦法,不要研究為什麽這麽做,因為這是djanggo相關的,你直接copy過去用,一個字符都別改。
首先下載插件jquery.cookie.js.
在views文件裏這麽寫:
1 from django.template.context import RequestContext 2 # Create your views here. 3 4 5 def test(request): 6 7 if request.method == ‘POST‘: 8 return HttpResponse(‘ok‘) 9 return render_to_response(‘app01/test.html‘,context_instance=RequestContext(request))
1 from django.template.context import RequestContext 2 # Create your views here. 3 4 5 def test(request): 6 7 if request.method == ‘POST‘: 8 return HttpResponse(‘ok‘) 9 return render_to_response(‘app01/test.html‘,context_instance=RequestContext(request))
這是用來在get的時候返回csrf字符串的。
在html文件中這麽寫:
1 !DOCTYPE html> 2 <html> 3 <head lang="en"> 4 <meta charset="UTF-8"> 5 <title></title> 6 </head> 7 <body> 8 {% csrf_token %} 9 10 <input type="button" onclick="Do();" value="Do it"/> 11 12 <script src="/static/plugin/jquery/jquery-1.8.0.js"></script> 13 <script src="/static/plugin/jquery/jquery.cookie.js"></script> 14 <script type="text/javascript"> 15 var csrftoken = $.cookie(‘csrftoken‘); 16 17 function csrfSafeMethod(method) { 18 // these HTTP methods do not require CSRF protection 19 return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method)); 20 } 21 $.ajaxSetup({ 22 beforeSend: function(xhr, settings) { 23 if (!csrfSafeMethod(settings.type) && !this.crossDomain) { 24 xhr.setRequestHeader("X-CSRFToken", csrftoken); 25 } 26 } 27 }); 28 function Do(){ 29 30 $.ajax({ 31 url:"/app01/test/", 32 data:{id:1}, 33 type:‘POST‘, 34 success:function(data){ 35 console.log(data); 36 } 37 }); 38 39 } 40 </script> 41 </body> 42 </html>
1 !DOCTYPE html> 2 <html> 3 <head lang="en"> 4 <meta charset="UTF-8"> 5 <title></title> 6 </head> 7 <body> 8 {% csrf_token %} 9 10 <input type="button" onclick="Do();" value="Do it"/> 11 12 <script src="/static/plugin/jquery/jquery-1.8.0.js"></script> 13 <script src="/static/plugin/jquery/jquery.cookie.js"></script> 14 <script type="text/javascript"> 15 var csrftoken = $.cookie(‘csrftoken‘); 16 17 function csrfSafeMethod(method) { 18 // these HTTP methods do not require CSRF protection 19 return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method)); 20 } 21 $.ajaxSetup({ 22 beforeSend: function(xhr, settings) { 23 if (!csrfSafeMethod(settings.type) && !this.crossDomain) { 24 xhr.setRequestHeader("X-CSRFToken", csrftoken); 25 } 26 } 27 }); 28 function Do(){ 29 30 $.ajax({ 31 url:"/app01/test/", 32 data:{id:1}, 33 type:‘POST‘, 34 success:function(data){ 35 console.log(data); 36 } 37 }); 38 39 } 40 </script> 41 </body> 42 </html>
更多參考官網:https://docs.djangoproject.com/en/dev/ref/csrf/#ajax
三、cookie
cookie就是“小餅幹”,是偷偷在你的計算機裏存放的一些網站相關的信息。
它很不安全,是經常被攻擊的對象,也是泄露個人重要信息的重災區,因此,你在設計web頁面時,請不要往cookie裏存放敏感信息。
既然這樣,我們直接在瀏覽器裏禁用它得了 !很多人都這麽幹,但是又打開了,為啥?京東、天貓等網站沒有cookie支持你登錄不了的....
cookie還是有一點作用的,而且使用起來很方便。
1、獲取Cookie:
1 2 3 4 5 6 |
request.COOKIES[ ‘key‘ ]
request.get_signed_cookie(key, default = RAISE_ERROR, salt = ‘‘, max_age = None )
參數:
default: 默認值
salt: 加密鹽
max_age: 後臺控制過期時間
|
2、設置Cookie:
1 2 3 4 5 6 7 8 9 10 11 12 13 |
rep = HttpResponse(...) 或 rep = render(request, ...)
rep.set_cookie(key,value,...)
rep.set_signed_cookie(key,value,salt = ‘加密鹽‘ ,...)
參數:
key, 鍵
value = ‘‘, 值
max_age = None , 超時時間
expires = None , 超時時間(IE requires expires, so set it if hasn‘t been already.)
path = ‘/‘ , Cookie生效的路徑, / 表示根路徑,特殊的:跟路徑的cookie可以被任何url的頁面訪問
domain = None , Cookie生效的域名
secure = False , https傳輸
httponly = False 只能http協議傳輸,無法被JavaScript獲取(不是絕對,底層抓包可以獲取到也可以被覆蓋)
|
由於cookie保存在客戶端的電腦上,所以,JavaScript和jquery也可以操作cookie。
1 2 |
<script src = ‘/static/js/jquery.cookie.js‘ >< / script>
$.cookie( "list_pager_num" , 30 ,{ path: ‘/‘ });
|
四、session 會話
Django自帶Session功能,其內部提供了5種類型的Session供開發者使用:
- 數據庫(默認)
- 緩存
- 文件
- 緩存+數據庫
- 加密cookie
本質的區別是什麽?session文件的存放位置!
1、數據庫Session
友情提示:在初期,必須先makemigration,生成django_session表的哦!
1 Django默認是將Session數據存儲在數據庫中,即:django_session 表中。 2 3 a. 配置 settings.py 4 5 SESSION_ENGINE = ‘django.contrib.sessions.backends.db‘ # 引擎(默認) 6 7 SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串(默認) 8 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑(默認) 9 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默認) 10 SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie(默認) 11 SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸(默認) 12 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默認) 13 SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期(默認) 14 SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之後才保存(默認) 15 16 17 18 b. 使用 19 20 def index(request): 21 # 獲取、設置、刪除Session中數據 22 request.session[‘k1‘] 23 request.session.get(‘k1‘,None) 24 request.session[‘k1‘] = 123 25 request.session.setdefault(‘k1‘,123) # 存在則不設置 26 del request.session[‘k1‘] 27 28 # 所有 鍵、值、鍵值對 29 request.session.keys() 30 request.session.values() 31 request.session.items() 32 request.session.iterkeys() 33 request.session.itervalues() 34 request.session.iteritems() 35 36 37 # 用戶session的隨機字符串 38 request.session.session_key 39 40 # 將所有Session失效日期小於當前日期的數據刪除 41 request.session.clear_expired() 42 43 # 檢查 用戶session的隨機字符串 在數據庫中是否 44 request.session.exists("session_key") 45 46 # 刪除當前用戶的所有Session數據 47 request.session.delete("session_key")
1 Django默認是將Session數據存儲在數據庫中,即:django_session 表中。 2 3 a. 配置 settings.py 4 5 SESSION_ENGINE = ‘django.contrib.sessions.backends.db‘ # 引擎(默認) 6 7 SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串(默認) 8 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑(默認) 9 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名(默認) 10 SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie(默認) 11 SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸(默認) 12 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周)(默認) 13 SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期(默認) 14 SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之後才保存(默認) 15 16 17 18 b. 使用 19 20 def index(request): 21 # 獲取、設置、刪除Session中數據 22 request.session[‘k1‘] 23 request.session.get(‘k1‘,None) 24 request.session[‘k1‘] = 123 25 request.session.setdefault(‘k1‘,123) # 存在則不設置 26 del request.session[‘k1‘] 27 28 # 所有 鍵、值、鍵值對 29 request.session.keys() 30 request.session.values() 31 request.session.items() 32 request.session.iterkeys() 33 request.session.itervalues() 34 request.session.iteritems() 35 36 37 # 用戶session的隨機字符串 38 request.session.session_key 39 40 # 將所有Session失效日期小於當前日期的數據刪除 41 request.session.clear_expired() 42 43 # 檢查 用戶session的隨機字符串 在數據庫中是否 44 request.session.exists("session_key") 45 46 # 刪除當前用戶的所有Session數據 47 request.session.delete("session_key")
2、緩存Session
a. 配置 settings.py SESSION_ENGINE = ‘django.contrib.sessions.backends.cache‘ # 引擎 SESSION_CACHE_ALIAS = ‘default‘ # 使用的緩存別名(默認內存緩存,也可以是memcache),此處別名依賴緩存的設置 SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名 SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期 SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之後才保存 b. 使用 同上
a. 配置 settings.py SESSION_ENGINE = ‘django.contrib.sessions.backends.cache‘ # 引擎 SESSION_CACHE_ALIAS = ‘default‘ # 使用的緩存別名(默認內存緩存,也可以是memcache),此處別名依賴緩存的設置 SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名 SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周) SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期 SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之後才保存 b. 使用 同上
3、文件Session
1 a. 配置 settings.py 2 3 SESSION_ENGINE = ‘django.contrib.sessions.backends.file‘ # 引擎 4 SESSION_FILE_PATH = None # 緩存文件路徑,如果為None,則使用tempfile模塊獲取一個臨時地址tempfile.gettempdir() # 如:/var/folders/d3/j9tj0gz93dg06bmwxmhh6_xm0000gn/T 5 6 7 SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串 8 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑 9 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名 10 SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie 11 SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸 12 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周) 13 SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期 14 SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之後才保存 15 16 b. 使用 17 18 同上
1 a. 配置 settings.py 2 3 SESSION_ENGINE = ‘django.contrib.sessions.backends.file‘ # 引擎 4 SESSION_FILE_PATH = None # 緩存文件路徑,如果為None,則使用tempfile模塊獲取一個臨時地址tempfile.gettempdir() # 如:/var/folders/d3/j9tj0gz93dg06bmwxmhh6_xm0000gn/T 5 6 7 SESSION_COOKIE_NAME = "sessionid" # Session的cookie保存在瀏覽器上時的key,即:sessionid=隨機字符串 8 SESSION_COOKIE_PATH = "/" # Session的cookie保存的路徑 9 SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名 10 SESSION_COOKIE_SECURE = False # 是否Https傳輸cookie 11 SESSION_COOKIE_HTTPONLY = True # 是否Session的cookie只支持http傳輸 12 SESSION_COOKIE_AGE = 1209600 # Session的cookie失效日期(2周) 13 SESSION_EXPIRE_AT_BROWSER_CLOSE = False # 是否關閉瀏覽器使得Session過期 14 SESSION_SAVE_EVERY_REQUEST = False # 是否每次請求都保存Session,默認修改之後才保存 15 16 b. 使用 17 18 同上
4、緩存+數據庫Session
1 數據庫用於做持久化,緩存用於提高效率 2 3 a. 配置 settings.py 4 5 SESSION_ENGINE = ‘django.contrib.sessions.backends.cached_db‘ # 引擎 6 7 b. 使用 8 9 同上
1 數據庫用於做持久化,緩存用於提高效率 2 3 a. 配置 settings.py 4 5 SESSION_ENGINE = ‘django.contrib.sessions.backends.cached_db‘ # 引擎 6 7 b. 使用 8 9 同上
5、加密cookie Session
1 a. 配置 settings.py 2 3 SESSION_ENGINE = ‘django.contrib.sessions.backends.signed_cookies‘ # 引擎 4 5 b. 使用 6 7 同上
1 a. 配置 settings.py 2 3 SESSION_ENGINE = ‘django.contrib.sessions.backends.signed_cookies‘ # 引擎 4 5 b. 使用 6 7 同上
更多參考:https://docs.djangoproject.com/en/1.9/topics/http/sessions/
以及:https://docs.djangoproject.com/en/1.9/ref/settings/#settings-sessions
擴展:Session用戶驗證(將驗證做成個裝飾器,什麽方法需要已登陸為前提,就給它加這頂帽子!)
1 def login(func): 2 def wrap(request, *args, **kwargs): 3 # 如果未登陸,跳轉到指定頁面 4 if request.path == ‘/test/‘: 5 return redirect(‘http://www.baidu.com‘) 6 return func(request, *args, **kwargs) 7 return wrap
1 def login(func): 2 def wrap(request, *args, **kwargs): 3 # 如果未登陸,跳轉到指定頁面 4 if request.path == ‘/test/‘: 5 return redirect(‘http://www.baidu.com‘) 6 return func(request, *args, **kwargs) 7 return wrap
Django之Form、CSRF、cookie和session