Django组件之中间件

一、什么是中间件

　　顾名思义，是介于request与response处理之间的一道处理过程，相对比较轻量级，并且在全局上改变Django的输入与输出。因为改变的是全局，所以需要谨慎实用。

二、中间件解构

2.1 Django默认中间件

　　settings模块中的MIDDLEWARE_CLASSES

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

 

2.2 中间件主要方法

process_request(self,request)

process_view(self, request, callback, callback_args, callback_kwargs)

process_template_response(self,request,response)

process_exception(self, request, exception)

process_response(self, request, response)

2.2.1 process_request和process_response

　　当用户发起请求的时候会依次经过所有的的中间件，这个时候的请求时process_request,最后到达views的函数中，views函数处理后，在依次穿过中间件，这个时候是process_response,最后返回给请求者。

执行顺序

process_request,从上往下执行（请求来的时候,会响应它）
　　如果retrun HttpResponse的对象,直接返回了

 

　　如果retrun None ,继续往下走（相当于不写return）
process_response,从下往上执行（响应回去的时候,会走它）
　　return response就是视图函数中的retrun Httpresponse的对象

总结

1. 中间件的process_request方法是在执行视图函数之前执行的。
2. 当配置多个中间件时，会按照MIDDLEWARE中的注册顺序，也就是列表的索引值，从前到后依次执行的。
3. 不同中间件之间传递的request都是同一个对象

　　多个中间件中的process_response方法是按照MIDDLEWARE中的注册顺序倒序执行的，也就是说第一个中间件的process_request方法首先执行，而它的process_response方法最后执行，最后一个中间件的process_request方法最后一个执行，它的process_response方法是最先执行。

2.2.2  process_view

四个参数：request, callback(视图函数), callback_args(无名分组的参数), callback_kwargs(有名分组的参数)

执行顺序

process_view可以用来调用视图函数

class Md1(MiddlewareMixin):

    def process_request(self,request):
        print("Md1请求")

    def process_response(self,request,response):
        print("Md1返回")
        return response

    def process_view(self, request, callback, callback_args, callback_kwargs):

        response=callback(request,*callback_args,**callback_kwargs)
        return response

　　process_view如果有返回值，会越过其他的process_view以及视图函数，但是所有的process_response都还会执行。

2.2.3 process_exception(self, request, exception)

该方法两个参数:

　　一个HttpRequest对象

　　一个exception是视图函数异常产生的Exception对象。

　　这个方法只有在视图函数中出现异常了才执行，它返回的值可以是一个None也可以是一个HttpResponse对象。如果是HttpResponse对象，Django将调用模板和中间件中的process_response方法，并返回给浏览器，否则将默认处理异常。如果返回一个None，则交给下一个中间件的process_exception方法来处理异常。它的执行顺序也是按照中间件注册顺序的倒序执行。

2.2.4 process_template_response(self,request,response)

　　该方法对视图函数返回值有要求，必须是一个含有render方法类的对象，才会执行此方法

三、自定义中间件

第一步：导入

　　from django.utils.deprecation import MiddlewareMixin

第二步：自定义中间件

　　自己写一个类，但是必须继承MiddlewareMixin

from django.utils.deprecation import MiddlewareMixin
from django.shortcuts import HttpResponse

class Md1(MiddlewareMixin):

    def process_request(self,request):
        print("Md1请求")
 
    def process_response(self,request,response):  # 多一个response参数
        print("Md1返回")
        return response

class Md2(MiddlewareMixin):

    def process_request(self,request):
        print("Md2请求")
        #return HttpResponse("Md2中断")  # 不会走到视图函数
    def process_response(self,request,response):
        print("Md2返回")
        return response

第三步：在view中定义一个视图函数（index）

def index(request):

    print("view函数...")
    return HttpResponse("OK")

第四步：在settings.py的MIDDLEWARE里注册自己定义的中间件

 四、csrf:跨站请求伪造

　　通过伪装来自受信任用户的请求来利用受信任的网站。可以理解成攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，而且也完成了攻击者所期望的一个操作。

防范措施

（1）验证 HTTP Referer 字段

　　根据 HTTP 协议，在 HTTP 头中有一个字段叫 Referer，它记录了该 HTTP 请求的来源地址。

（2）在请求地址中添加 token 并验证

（3）在 HTTP 头中自定义属性并验证

Django中使用

# form表单形式:
<form action="" method="post">
    {% csrf_token %}  # 重点
    <input type="text" name="name">
    <input type="text" name="pwd">
    <input type="submit" value="提交">
</form>

# ajax提交
data: {
    'name': $('[name="name"]').val(),
    'pwd': $('[name="pwd"]').val(),
    # 写法一
    'csrfmiddlewaretoken': $('[name="csrfmiddlewaretoken"]').val()
    # 写法二
    'csrfmiddlewaretoken': '{{ csrf_token }}'
    },    

局部禁用,局部使用

用装饰器:from django.views.decorators.csrf import csrf_exempt,csrf_protect

FBV：直接加载在FBV上

# 局部禁用,全局使用
@csrf_exempt
def csrf_disable(request):
    print(request.POST)
    return HttpResponse('ok')
# 局部使用,全局禁用
@csrf_protect
def csrf_disable(request):
    print(request.POST)
    return HttpResponse('ok')

CBV：只能加在dispatch方法或者类上面

#局部禁用,全局得使用，局部使用,全局得禁用
from django.views import View
from django.utils.decorators import method_decorator
@method_decorator(csrf_protect,name='dispatch')
class Csrf_disable(View):
# @method_decorator(csrf_protect)
def dispatch(self, request, *args, **kwargs):
    ret=super().dispatch(request, *args, **kwargs)
    return ret
def get(self,request):
    return HttpResponse('ok')
def post(self,request):
    return HttpResponse('post---ok')