django 中间件与 csrf 的有关问题

Django 的中间件一般需要实现几个方法来达到固定的需求

  • process_request
    Django 接收到 request 之后,但未解析 url 之前,返回 None 或 HttpResponse 对象
  • process_view
    Django 执行完 request 预处理函数并确定待执行的 view 后,但在 view 函数实际执行前。
  • process_response
    Django 执行完 view 函数并生成 response 之后
  • process_exception
    request 处理过程中出现问题或 view 抛出了未捕获的异常
  • process_template_response
    Django 在 view 函数中返回 render 的一个模板时调用。
    来看一张流程图:


    来源于网络,如若侵权请告知

中间件的作用:

适用于所有请求批量做操作

主要有如下的场景:
  • 基于角色的权限控制
  • 用户认证
  • csrf 和 session
  • 黑(白)名单
  • 日志记录
    csrf 在 process_view 中实现了。Django 会在每次含有表单的请求中带一个 csrf_token 值,这个是一个随机字符串。当含有表单的请求执行时,Django 检查其中的 csrf_token 是否是上一次发的,如果是,则继续执行请求,否则返回错误。中间件先判断函数是否添加了 csrf 装饰器,默认所有 post 方法都加了。然后再获取用户提交的 token,检验其是否正确。
    session 也是类似,不过它实现了 process_request 方法。来看一下具体代码:
def process_request(self, request):
    session_key = request.COOKIES.get(settings.SESSION_COOKIE_NAME)
    request.session = self.SessionStore(session_key)

免除 csrf

导入 django.views.decorators.csrf import csrf_exempt·, csrf_protect
fbv 直接添加 @csrf_exempt 表示免除 csrf 认证
若在中间件那块没有配置 csrf ,那么可以添加 @csrf_protect 来表示需要 csrf 认证。
那么在 cbv 方法中加装饰器是否有用呢?答案是不行的。

from django.utils.decorators import method_decorator
# 然后需要在 dispatch 方法中加上
@method_decorator(csrf_exempt)
def  dispatch(*args, **kwargs):
    pass
# 或者直接在类上加
@method_decorator(csrf_exempt, name='dispatch')
class testView(View):
    pass

如果不明白 dispatch 函数,可以看看这篇文章。

补充

如果在页面上出现需要使用 ajax 发送请求时,那么也需要传送 csrftoken 的值,这个怎么获取呢?
默认情况下,csrf 会在 form 表单中生成一个 input 框,另外还会在 cookie 中设置一个 cookie 值 csrftoken。Django 里面会将请求头中的封装为 HTTP_X_CSRFTOKEN,所以我们在请求头中需要设置 X-CSRFtoken。请求头中不能出现下划线。这一点很重要,我是第一次知道。

# 采用 Jquery 和 jquery-cookie 
function csrfSafeMethod(method) {
    // these HTTP methods do not require CSRF protection
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
        }
# 以上表示 GET, HEAD, OPTIONS, TRACE 不需要加 csrftoken
var csrftoken = $.cookie('csrftoken');
$(function() {
    $.ajaxSetup({
        beforeSend: function(xhr, settings) {
           if (!csrfSafeMethod(settings.type) && !this.crossDomain) 
           {
               xhr.setRequestHeader("X-CSRFToken", csrftoken);
           }
        }
    })
});
# 当然了也可以在每一次 ajax 请求时设置 headers
$.ajax({
    url:xxx.
    type:"POST",
    data:{},
    headers:{'X-CSRFtoken': $.cookie('csrftoken')},
    success: function(arg){
        pass
    }
})

另外,请求头中的 csrftoken 值和 form 中 csrftoken 的值不一样。

你可能感兴趣的:(django 中间件与 csrf 的有关问题)