跨站请求伪造

一、简介

django为用户实现防止跨站请求伪造的功能，通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。

全局：

　　中间件 django.middleware.csrf.CsrfViewMiddleware

局部：

• @csrf_protect，为当前函数强制设置防跨站请求伪造功能，即便settings中没有设置全局中间件。

• @csrf_exempt，取消当前函数防跨站请求伪造功能，即便settings中设置了全局中间件。

注：from django.views.decorators.csrf import csrf_exempt,csrf_protect

二、应用

1、普通表单

veiw中设置返回值：　　return render_to_response('Account/Login.html',data,context_instance=RequestContext(request))　　     或者     return render(request, 'xxx.html', data)  html中设置Token:　　{% csrf_token %}

2、Ajax

对于传统的form，可以通过表单的方式将token再次发送到服务端，而对于ajax的话，使用如下方式。

view.py

from django.template.context import RequestContext# Create your views here.    def test(request):      if request.method == 'POST':        print request.POST        return HttpResponse('ok')    return  render_to_response('app01/test.html',context_instance=RequestContext(request))

text.html

     
          
      
           
           {% csrf_token %}      
             
       
            
        
             
         
                  var csrftoken = $.cookie('csrftoken');          function csrfSafeMethod(method) {            // these HTTP methods do not require CSRF protection            return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));        }        $.ajaxSetup({            beforeSend: function(xhr, settings) {                if (!csrfSafeMethod(settings.type) && !this.crossDomain) {                    xhr.setRequestHeader("X-CSRFToken", csrftoken);                }            }        });        function Do(){              $.ajax({                url:"/app01/test/",                data:{id:1},                type:'POST',                success:function(data){                    console.log(data);                }            });          }    
         
        
       
      
     

更多：https://docs.djangoproject.com/en/dev/ref/csrf/#ajax

Cookie

1、获取Cookie：

request.COOKIES['key']request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None)    参数：        default: 默认值           salt: 加密盐        max_age: 后台控制过期时间

2、设置Cookie：

rep = HttpResponse(...) 或 rep ＝ render(request, ...) rep.set_cookie(key,value,...)rep.set_signed_cookie(key,value,salt='加密盐',...)    参数：        key,              键        value='',         值        max_age=None,     超时时间        expires=None,     超时时间(IE requires expires, so set it if hasn't been already.)        path='/',         Cookie生效的路径，/ 表示根路径，特殊的：跟路径的cookie可以被任何url的页面访问        domain=None,      Cookie生效的域名        secure=False,     https传输        httponly=False    只能http协议传输，无法被JavaScript获取（不是绝对，底层抓包可以获取到也可以被覆盖）

由于cookie保存在客户端的电脑上，所以，JavaScript和jquery也可以操作cookie。

     
      $.cookie("list_pager_num", 30,{ path: '/' });
     

Session

Django中默认支持Session，其内部提供了5种类型的Session供开发者使用：

• 数据库（默认）

• 缓存

• 文件

• 缓存+数据库

• 加密cookie

1、数据库Session

Django默认支持Session，并且默认是将Session数据存储在数据库中，即：django_session 表中。 a. 配置 settings.py     SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎（默认）         SESSION_COOKIE_NAME ＝ "sessionid"                       # Session的cookie保存在浏览器上时的key，即：sessionid＝随机字符串（默认）    SESSION_COOKIE_PATH ＝ "/"                               # Session的cookie保存的路径（默认）    SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名（默认）    SESSION_COOKIE_SECURE = False                            # 是否Https传输cookie（默认）    SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http传输（默认）    SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期（2周）（默认）    SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否关闭浏览器使得Session过期（默认）    SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次请求都保存Session，默认修改之后才保存（默认）   b. 使用     def index(request):        # 获取、设置、删除Session中数据        request.session['k1']        request.session.get('k1',None)        request.session['k1'] = 123        request.session.setdefault('k1',123) # 存在则不设置        del request.session['k1']         # 所有 键、值、键值对        request.session.keys()        request.session.values()        request.session.items()        request.session.iterkeys()        request.session.itervalues()        request.session.iteritems()          # 用户session的随机字符串        request.session.session_key         # 将所有Session失效日期小于当前日期的数据删除        request.session.clear_expired()         # 检查 用户session的随机字符串 在数据库中是否        request.session.exists("session_key")         # 删除当前用户的所有Session数据        request.session.delete("session_key")         ...

2、缓存Session

a. 配置 settings.py     SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎    SESSION_CACHE_ALIAS = 'default'                            # 使用的缓存别名（默认内存缓存，也可以是memcache），此处别名依赖缓存的设置      SESSION_COOKIE_NAME ＝ "sessionid"    # Session的cookie保存在浏览器上时的key，即：sessionid＝随机字符串    SESSION_COOKIE_PATH ＝ "/"            # Session的cookie保存的路径    SESSION_COOKIE_DOMAIN = None          # Session的cookie保存的域名    SESSION_COOKIE_SECURE = False         # 是否Https传输cookie    SESSION_COOKIE_HTTPONLY = True        # 是否Session的cookie只支持http传输    SESSION_COOKIE_AGE = 1209600                # Session的cookie失效日期（2周）    SESSION_EXPIRE_AT_BROWSER_CLOSE = False     # 是否关闭浏览器使得Session过期    SESSION_SAVE_EVERY_REQUEST = False          # 是否每次请求都保存Session，默认修改之后才保存   b. 使用     同上

3、文件Session

a. 配置 settings.py     SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎    SESSION_FILE_PATH = None                                    # 缓存文件路径，如果为None，则使用tempfile模块获取一个临时地址tempfile.gettempdir()                                                            # 如：/var/folders/d3/j9tj0gz93dg06bmwxmhh6_xm0000gn/T      SESSION_COOKIE_NAME ＝ "sessionid"     # Session的cookie保存在浏览器上时的key，即：sessionid＝随机字符串    SESSION_COOKIE_PATH ＝ "/"             # Session的cookie保存的路径    SESSION_COOKIE_DOMAIN = None           # Session的cookie保存的域名    SESSION_COOKIE_SECURE = False          # 是否Https传输cookie    SESSION_COOKIE_HTTPONLY = True         # 是否Session的cookie只支持http传输    SESSION_COOKIE_AGE = 1209600                 # Session的cookie失效日期（2周）    SESSION_EXPIRE_AT_BROWSER_CLOSE = False      # 是否关闭浏览器使得Session过期    SESSION_SAVE_EVERY_REQUEST = False           # 是否每次请求都保存Session，默认修改之后才保存 b. 使用     同上

4、缓存+数据库Session

数据库用于做持久化，缓存用于提高效率 a. 配置 settings.py     SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎 b. 使用     同上

5、加密cookie Session

a. 配置 settings.py         SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎 b. 使用     同上

更多参考： 和 

扩展：Session用户验证

def login(func):    def wrap(request, *args, **kwargs):        # 如果未登陆，跳转到指定页面        if request.path == '/test/':            return redirect('http://www.baidu.com')        return func(request, *args, **kwargs)    return wrap

分页

一、Django内置分页

Paginator

二、自定义分页

分页功能在每个网站都是必要的，对于分页来说，其实就是根据用户的输入计算出应该在数据库表中的起始位置。

1、设定每页显示数据条数

2、用户输入页码（第一页、第二页...）

3、根据设定的每页显示条数和当前页码，计算出需要取数据表的起始位置

4、在数据表中根据起始位置取值，页面上输出数据

---

需求又来了，需要在页面上显示分页的页面。如：［上一页］［1］［2］［3］［4］［5］［下一页］

1、设定每页显示数据条数

2、用户输入页码（第一页、第二页...）

3、设定显示多少页号

4、获取当前数据总条数

5、根据设定显示多少页号和数据总条数计算出，总页数

6、根据设定的每页显示条数和当前页码，计算出需要取数据表的起始位置

7、在数据表中根据起始位置取值，页面上输出数据

8、输出分页html，如：［上一页］［1］［2］［3］［4］［5］［下一页］

# 分页实例#!/usr/bin/env python# _*_coding:utf-8_*_from django.utils.safestring import mark_safe class PageInfo(object):    def __init__(self,current,totalItem,peritems=5):        self.__current=current        self.__peritems=peritems        self.__totalItem=totalItem    def From(self):        return (self.__current-1)*self.__peritems    def To(self):        return self.__current*self.__peritems    def TotalPage(self):  #总页数        result=divmod(self.__totalItem,self.__peritems)        if result[1]==0:            return result[0]        else:            return result[0]+1 def Custompager(baseurl,currentPage,totalpage):  #基础页，当前页，总页数    perPager=11    #总页数<11    #0 -- totalpage    #总页数>11        #当前页大于5 currentPage-5 -- currentPage+5            #currentPage+5是否超过总页数,超过总页数，end就是总页数        #当前页小于5 0 -- 11    begin=0    end=0    if totalpage <= 11:        begin=0        end=totalpage    else:        if currentPage>5:            begin=currentPage-5            end=currentPage+5            if end > totalpage:                end=totalpage        else:            begin=0            end=11    pager_list=[]    if currentPage<=1:        first="
     
      首页"    else:        first="
      
       首页" % (baseurl,1)    pager_list.append(first)     if currentPage<=1:        prev="
       
        上一页"    else:        prev="
        
         上一页" % (baseurl,currentPage-1)    pager_list.append(prev)     for i in range(begin+1,end+1):        if i == currentPage:            temp="
         
          %d" % (baseurl,i,i)        else:            temp="
          
           %d" % (baseurl,i,i)        pager_list.append(temp)    if currentPage>=totalpage:        next="
           
            下一页"    else:        next="
            
             下一页" % (baseurl,currentPage+1)    pager_list.append(next)    if currentPage>=totalpage:        last="
             
              末页"    else:        last="
              
               末页" % (baseurl,totalpage)    pager_list.append(last)    result=''.join(pager_list)    return mark_safe(result)   #把字符串转成html语言
              
             
            
           
          
         
        
       
      
     

总结，分页时需要做三件事：

• 创建处理分页数据的类

• 根据分页数据获取数据

• 输出分页HTML，即：［上一页］［1］［2］［3］［4］［5］［下一页］

缓存

由于Django是动态网站，所有每次请求均会去数据进行相应的操作，当程序访问量大时，耗时必然会更加明显，最简单解决方式是使用：缓存，缓存将一个某个views的返回值保存至内存或者memcache中，5分钟内再有人来访问时，则不再去执行view中的操作，而是直接从内存或者Redis中之前缓存的内容拿到，并返回。

Django中提供了6种缓存方式：

• 开发调试

• 内存

• 文件

• 数据库

• Memcache缓存（python-memcached模块）

• Memcache缓存（pylibmc模块）

1、配置

a、开发调试

# 此为开始调试用，实际内部不做任何操作    # 配置：        CACHES = {            'default': {                'BACKEND': 'django.core.cache.backends.dummy.DummyCache',     # 引擎                'TIMEOUT': 300,                                               # 缓存超时时间（默认300，None表示永不过期，0表示立即过期）                'OPTIONS':{                    'MAX_ENTRIES': 300,                                       # 最大缓存个数（默认300）                    'CULL_FREQUENCY': 3,                                      # 缓存到达最大个数之后，剔除缓存个数的比例，即：1/CULL_FREQUENCY（默认3）                },                'KEY_PREFIX': '',                                             # 缓存key的前缀（默认空）                'VERSION': 1,                                                 # 缓存key的版本（默认1）                'KEY_FUNCTION' 函数名                                          # 生成key的函数（默认函数会生成为：【前缀:版本:key】）            }        }    # 自定义key    def default_key_func(key, key_prefix, version):        """        Default function to generate keys.        Constructs the key used by all other methods. By default it prepends        the `key_prefix'. KEY_FUNCTION can be used to specify an alternate        function with custom key making behavior.        """        return '%s:%s:%s' % (key_prefix, version, key)    def get_key_func(key_func):        """        Function to decide which key function to use.        Defaults to ``default_key_func``.        """        if key_func is not None:            if callable(key_func):                return key_func            else:                return import_string(key_func)        return default_key_func

b、内存

# 此缓存将内容保存至内存的变量中    # 配置：        CACHES = {            'default': {                'BACKEND': 'django.core.cache.backends.locmem.LocMemCache',                'LOCATION': 'unique-snowflake',            }        }    # 注：其他配置同开发调试版本

c、文件

# 此缓存将内容保存至文件    # 配置：        CACHES = {            'default': {                'BACKEND': 'django.core.cache.backends.filebased.FileBasedCache',                'LOCATION': '/var/tmp/django_cache',            }        }    # 注：其他配置同开发调试版本

d、数据库

# 此缓存将内容保存至数据库    # 配置：        CACHES = {            'default': {                'BACKEND': 'django.core.cache.backends.db.DatabaseCache',                'LOCATION': 'my_cache_table', # 数据库表            }        }    # 注：执行创建表命令 python manage.py createcachetable

e、Memcache缓存（python-memcached模块）

# 此缓存使用python-memcached模块连接memcache    CACHES = {        'default': {            'BACKEND': 'django.core.cache.backends.memcached.MemcachedCache',            'LOCATION': '127.0.0.1:11211',        }    }    CACHES = {        'default': {            'BACKEND': 'django.core.cache.backends.memcached.MemcachedCache',            'LOCATION': 'unix:/tmp/memcached.sock',        }    }       CACHES = {        'default': {            'BACKEND': 'django.core.cache.backends.memcached.MemcachedCache',            'LOCATION': [                '172.19.26.240:11211',                '172.19.26.242:11211',            ]        }    }

f、Memcache缓存（pylibmc模块）

# 此缓存使用pylibmc模块连接memcache        CACHES = {        'default': {            'BACKEND': 'django.core.cache.backends.memcached.PyLibMCCache',            'LOCATION': '127.0.0.1:11211',        }    }    CACHES = {        'default': {            'BACKEND': 'django.core.cache.backends.memcached.PyLibMCCache',            'LOCATION': '/tmp/memcached.sock',        }    }       CACHES = {        'default': {            'BACKEND': 'django.core.cache.backends.memcached.PyLibMCCache',            'LOCATION': [                '172.19.26.240:11211',                '172.19.26.242:11211',            ]        }    }

2、应用

a. 全站使用

# 使用中间件，经过一系列的认证等操作，如果内容在缓存中存在，则使用FetchFromCacheMiddleware获取内容并返回给用户，当返回给用户之前，判断缓存中是否已经存在，如果不存在则UpdateCacheMiddleware会将缓存保存至缓存，从而实现全站缓存    MIDDLEWARE = [        'django.middleware.cache.UpdateCacheMiddleware',        # 其他中间件...        'django.middleware.cache.FetchFromCacheMiddleware',    ]    CACHE_MIDDLEWARE_ALIAS = ""    CACHE_MIDDLEWARE_SECONDS = ""    CACHE_MIDDLEWARE_KEY_PREFIX = ""

b. 单独视图缓存

方式一：        from django.views.decorators.cache import cache_page        @cache_page(60 * 15)        def my_view(request):            ...    方式二：        from django.views.decorators.cache import cache_page        urlpatterns = [            url(r'^foo/([0-9]{1,2})/$', cache_page(60 * 15)(my_view)),        ]

c、局部视图使用

a. 引入TemplateTag        {% load cache %}    b. 使用缓存        {% cache 5000 缓存key %}            缓存内容        {% endcache %}

更多：

序列化

关于Django中的序列化主要应用在将数据库中检索的数据返回给客户端用户，特别的Ajax请求一般返回的为Json格式。

1、serializers

from django.core import serializers ret = models.BookType.objects.all() data = serializers.serialize("json", ret)

2、json.dumps

import json #ret = models.BookType.objects.all().values('caption')ret = models.BookType.objects.all().values_list('caption') ret=list(ret) result = json.dumps(ret)

由于json.dumps时无法处理datetime日期，所以可以通过自定义处理器来做扩展，如：

import json from datetime import date from datetime import datetime    class JsonCustomEncoder(json.JSONEncoder):         def default(self, field):              if isinstance(field, datetime):             return field.strftime('%Y-%m-%d %H:%M:%S')         elif isinstance(field, date):             return field.strftime('%Y-%m-%d')         else:             return json.JSONEncoder.default(self, field)       # ds = json.dumps(d, cls=JsonCustomEncoder)

信号

Django中提供了“信号调度”，用于在框架执行操作时解耦。通俗来讲，就是一些动作发生的时候，信号允许特定的发送者去提醒一些接受者。

1、Django内置信号

Model signals    pre_init                    # django的modal执行其构造方法前，自动触发    post_init                   # django的modal执行其构造方法后，自动触发    pre_save                    # django的modal对象保存前，自动触发    post_save                   # django的modal对象保存后，自动触发    pre_delete                  # django的modal对象删除前，自动触发    post_delete                 # django的modal对象删除后，自动触发    m2m_changed                 # django的modal中使用m2m字段操作第三张表（add,remove,clear）前后，自动触发    class_prepared              # 程序启动时，检测已注册的app中modal类，对于每一个类，自动触发Management signals    pre_migrate                 # 执行migrate命令前，自动触发    post_migrate                # 执行migrate命令后，自动触发Request/response signals    request_started             # 请求到来前，自动触发    request_finished            # 请求结束后，自动触发    got_request_exception       # 请求异常后，自动触发Test signals    setting_changed             # 使用test测试修改配置文件时，自动触发    template_rendered           # 使用test测试渲染模板时，自动触发Database Wrappers    connection_created          # 创建数据库连接时，自动触发

对于Django内置的信号，仅需注册指定信号，当程序执行相应操作时，自动触发注册函数：

from django.core.signals import request_finished    from django.core.signals import request_started    from django.core.signals import got_request_exception    from django.db.models.signals import class_prepared    from django.db.models.signals import pre_init, post_init    from django.db.models.signals import pre_save, post_save    from django.db.models.signals import pre_delete, post_delete    from django.db.models.signals import m2m_changed    from django.db.models.signals import pre_migrate, post_migrate    from django.test.signals import setting_changed    from django.test.signals import template_rendered    from django.db.backends.signals import connection_created    def callback(sender, **kwargs):        print("xxoo_callback")        print(sender,kwargs)    xxoo.connect(callback)    # xxoo指上述导入的内容

from django.core.signals import request_finishedfrom django.dispatch import receiver@receiver(request_finished)def my_callback(sender, **kwargs):    print("Request finished!")

2、自定义信号

a. 定义信号

import django.dispatchpizza_done = django.dispatch.Signal(providing_args=["toppings", "size"])

b. 注册信号

def callback(sender, **kwargs):    print("callback")    print(sender,kwargs) pizza_done.connect(callback)

c. 触发信号

from 路径 import pizza_done pizza_done.send(sender='seven',toppings=123, size=456)

由于内置信号的触发者已经集成到Django中，所以其会自动调用，而对于自定义信号则需要开发者在任意位置触发。

更多：