Django之序列化、信号、跨站伪造请求

 

 

 1.跨站请求伪造

 2.序列化

 

 3.信号

 

1.跨站请求伪造

一、简介

django为用户实现防止跨站请求伪造的功能，通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。

全局：

　　中间件 django.middleware.csrf.CsrfViewMiddleware

局部：

• @csrf_protect，为当前函数强制设置防跨站请求伪造功能，即便settings中没有设置全局中间件。
• @csrf_exempt，取消当前函数防跨站请求伪造功能，即便settings中设置了全局中间件。

注：from django.views.decorators.csrf import csrf_exempt,csrf_protect

二、应用

1、普通表单

veiw中设置返回值：
　　return render_to_response('Account/Login.html',data,context_instance=RequestContext(request))　　
     或者
     return render(request, 'xxx.html', data)
  
html中设置Token:
　　{% csrf_token %}

2、Ajax

对于传统的form，可以通过表单的方式将token再次发送到服务端，而对于ajax的话，使用如下方式。

view.py

from django.template.context import RequestContext
# Create your views here.
  
  
def test(request):
  
    if request.method == 'POST':
        print request.POST
        return HttpResponse('ok')
    return  render_to_response('app01/test.html',context_instance=RequestContext(request))

text.html

<!DOCTYPE html>
<html>
<head lang="en">
    <meta charset="UTF-8">
    <title></title>
</head>
<body>
    {% csrf_token %}
  
    <input type="button" onclick="Do();"  value="Do it"/>
  
    <script src="/static/plugin/jquery/jquery-1.8.0.js"></script>
    <script src="/static/plugin/jquery/jquery.cookie.js"></script>
    <script type="text/javascript">
        var csrftoken = $.cookie('csrftoken');
  
        function csrfSafeMethod(method) {
            // these HTTP methods do not require CSRF protection
            return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
        }
        $.ajaxSetup({
            beforeSend: function(xhr, settings) {
                if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
                    xhr.setRequestHeader("X-CSRFToken", csrftoken);
                }
            }
        });
        function Do(){
  
            $.ajax({
                url:"/app01/test/",
                data:{id:1},
                type:'POST',
                success:function(data){
                    console.log(data);
                }
            });
  
        }
    </script>
</body>
</html>

更多：https://docs.djangoproject.com/en/dev/ref/csrf/#ajax

 

2.序列化

Django原生serializer（序列化）
     1 导入模块 from django.core.serializers import serialize
     2 获取queryset
     3 对queryset进行序列化
     4 将序列化之后的数据，响应给客户端

关于Django中的序列化主要应用在将数据库中检索的数据返回给客户端用户，特别的Ajax请求一般返回的为Json格式。

1、serializers

1 2 3 4 5

from django.core import serializers   ret = models.BookType.objects.all()   data = serializers.serialize("json", ret)

2、json.dumps

1 2 3 4 5 6 7 8

import json   #ret = models.BookType.objects.all().values('caption') ret = models.BookType.objects.all().values_list('caption')   ret=list(ret)   result = json.dumps(ret)

由于json.dumps时无法处理datetime日期，所以可以通过自定义处理器来做扩展，如：

import json 
from datetime import date 
from datetime import datetime 
   
class JsonCustomEncoder(json.JSONEncoder): 
    
    def default(self, field): 
     
        if isinstance(field, datetime): 
            return o.strftime('%Y-%m-%d %H:%M:%S') 
        elif isinstance(field, date): 
            return o.strftime('%Y-%m-%d') 
        else: 
            return json.JSONEncoder.default(self, field) 
   
   
# ds = json.dumps(d, cls=JsonCustomEncoder) 

3.信号

Django中提供了“信号调度”，用于在框架执行操作时解耦。通俗来讲，就是一些动作发生的时候，信号允许特定的发送者去提醒一些接受者。

1、Django内置信号

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

Model signals     pre_init                    # django的modal执行其构造方法前，自动触发     post_init                   # django的modal执行其构造方法后，自动触发     pre_save                    # django的modal对象保存前，自动触发     post_save                   # django的modal对象保存后，自动触发     pre_delete                  # django的modal对象删除前，自动触发     post_delete                 # django的modal对象删除后，自动触发     m2m_changed                 # django的modal中使用m2m字段操作第三张表（add,remove,clear）前后，自动触发     class_prepared              # 程序启动时，检测已注册的app中modal类，对于每一个类，自动触发 Management signals     pre_migrate                 # 执行migrate命令前，自动触发     post_migrate                # 执行migrate命令后，自动触发 Request/response signals     request_started             # 请求到来前，自动触发     request_finished            # 请求结束后，自动触发     got_request_exception       # 请求异常后，自动触发 Test signals     setting_changed             # 使用test测试修改配置文件时，自动触发     template_rendered           # 使用test测试渲染模板时，自动触发 Database Wrappers     connection_created          # 创建数据库连接时，自动触发

对于Django内置的信号，仅需注册指定信号，当程序执行相应操作时，自动触发注册函数：

from django.core.signals import request_finished
    from django.core.signals import request_started
    from django.core.signals import got_request_exception

    from django.db.models.signals import class_prepared
    from django.db.models.signals import pre_init, post_init
    from django.db.models.signals import pre_save, post_save
    from django.db.models.signals import pre_delete, post_delete
    from django.db.models.signals import m2m_changed
    from django.db.models.signals import pre_migrate, post_migrate

    from django.test.signals import setting_changed
    from django.test.signals import template_rendered

    from django.db.backends.signals import connection_created


    def callback(sender, **kwargs):
        print("xxoo_callback")
        print(sender,kwargs)

    xxoo.connect(callback)
    # xxoo指上述导入的内容

from django.core.signals import request_finished
from django.dispatch import receiver

@receiver(request_finished)
def my_callback(sender, **kwargs):
    print("Request finished!")

2、自定义信号

a. 定义信号

1 2	import django.dispatch pizza_done = django.dispatch.Signal(providing_args=["toppings", "size"])

b. 注册信号

1 2 3 4 5

def callback(sender, **kwargs):     print("callback")     print(sender,kwargs)   pizza_done.connect(callback)

c. 触发信号

1 2 3

from 路径 import pizza_done   pizza_done.send(sender='seven',toppings=123, size=456)

由于内置信号的触发者已经集成到Django中，所以其会自动调用，而对于自定义信号则需要开发者在任意位置触发。

更多：猛击这里