欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Django使用jinja2模板的實(shí)現(xiàn)

 更新時(shí)間:2023年02月23日 09:01:28   作者:Echo-Niu  
本文主要介紹了Django使用jinja2模板的實(shí)現(xiàn),文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

jinja2介紹

Jinja2:是 Python 下一個(gè)被廣泛應(yīng)用的模板引擎,是由Python實(shí)現(xiàn)的模板語言,他的設(shè)計(jì)思想來源于 Django 的模板引擎,并擴(kuò)展了其語法和一系列強(qiáng)大的功能,尤其是Flask框架內(nèi)置的模板語言

由于django默認(rèn)模板引擎功能不齊全,速度慢,所以我們也可以在Django中使用jinja2, jinja2宣稱比django默認(rèn)模板引擎快10-20倍。

Django主流的第三方APP基本上也都同時(shí)支持Django默認(rèn)模板及jinja2,所以要用jinja2也不會(huì)有多少障礙。

安裝jinja2模塊

pip install jinja2

Django配置jinja2

1.在項(xiàng)目文件中創(chuàng)建 jinja2_env.py 文件

from jinja2 import Environment
 
def environment(**options):
    env = Environment(**options)
 
    return env

2.在settings.py文件

TEMPLATES = [
    {
        'BACKEND': 'django.template.backends.jinja2.Jinja2',#修改1
        'DIRS': [os.path.join(BASE_DIR, 'templates')],
        'APP_DIRS':True,
        'OPTIONS':{
            'environment': 'jinja2_env.environment',# 修改2
            'context_processors':[
                'django.template.context_processors.debug',
                'django.template.context_processors.request',
                'django.contrib.auth.context_processors.auth',
                'django.contrib.messages.context_processors.messages',
            ],
        },
    },
]

jinja2模板的使用絕大多數(shù)和Django自帶模板一樣

jinja2自定義過濾器

Django文檔

在jinja2_env.py文件中自定義過濾器

from jinja2 import Environment
 
def environment(**options):
    env = Environment(**options)
 
    # 2.將自定義的過濾器添加到 環(huán)境中
    env.filters['do_listreverse'] = do_listreverse
 
    return env
 
# 1.自定義過濾器
def do_listreverse(li):
    if li == "B":
        return "哈哈"

CSRF

CSRF全拼為Cross Site Request Forgery,譯為跨站請求偽造。

CSRF指攻擊者盜用了你的身份,以你的名義發(fā)送惡意請求。

  • 包括:以你名義發(fā)送郵件,發(fā)消息,盜取你的賬號,甚至于購買商品,虛擬貨幣轉(zhuǎn)賬......

造成的問題:個(gè)人隱私泄露以及財(cái)產(chǎn)安全。

CSRF攻擊示意圖

客戶端訪問服務(wù)器時(shí)沒有同服務(wù)器做安全驗(yàn)證

防止 CSRF 攻擊

步驟

  • 在客戶端向后端請求界面數(shù)據(jù)的時(shí)候,后端會(huì)往響應(yīng)中的 cookie 中設(shè)置 csrf_token 的值
  • 在 Form 表單中添加一個(gè)隱藏的的字段,值也是 csrf_token
  • 在用戶點(diǎn)擊提交的時(shí)候,會(huì)帶上這兩個(gè)值向后臺發(fā)起請求
  • 后端接受到請求,以會(huì)以下幾件事件:
    • 從 cookie中取出 csrf_token
    • 從 表單數(shù)據(jù)中取出來隱藏的 csrf_token 的值
    • 進(jìn)行對比
  • 如果比較之后兩值一樣,那么代表是正常的請求,如果沒取到或者比較不一樣,代表不是正常的請求,不執(zhí)行下一步操作

代碼演示

未進(jìn)行 csrf 校驗(yàn)的 WebA

后端代碼實(shí)現(xiàn)

#定義路由
from django.conf.urls  import url
from pay import views
urlpatterns = [
    url(r'^$',views.LoginView.as_view(),name='index'),   #登錄路由 
    url(r'^transfer/$',views.TransferView.as_view(),name='transfer'), #轉(zhuǎn)賬路由
]
 
#定義視圖
class LoginView(View):
 
    def post(self,request):
 
        # 取到表單中提交上來的參數(shù)
        username = request.POST.get("username")
        password = request.POST.get("password")
 
        if not all([username, password]):
            print('參數(shù)錯(cuò)誤')
        else:
            print(username, password)
            if username == 'laowang' and password == '1234':
                # 狀態(tài)保持,設(shè)置用戶名到cookie中表示登錄成功
                response = redirect(reverse('transfer'))
                response.set_cookie('username', username)
                return response
            else:
                print('密碼錯(cuò)誤')
        return render(request,'login.html')
    def get(self,request):
        return render(request,'login.html')
 
class TransferView(View):
 
 
    def post(self,request):
        # 從cookie中取到用戶名
        username = request.COOKIES.get('username', None)
        # 如果沒有取到,代表沒有登錄
        if not username:
            return redirect(reverse('index'))
 
 
        to_account = request.POST.get("to_account")
        money = request.POST.get("money")
 
        print('假裝執(zhí)行轉(zhuǎn)操作,將當(dāng)前登錄用戶的錢轉(zhuǎn)賬到指定賬戶')
        return HttpResponse('轉(zhuǎn)賬 %s 元到 %s 成功' % (money, to_account))
 
    def get(self, request):
        # 渲染轉(zhuǎn)換頁面
        response = render(request, 'transfer.html')
 
        return response

前端登錄頁面代碼

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登錄</title>
</head>
<body>
 
<h1>我是網(wǎng)站A,登錄頁面</h1>
 
<form method="post">
    <label>用戶名:</label><input type="text" name="username" placeholder="請輸入用戶名"><br/>
    <label>密碼:</label><input type="password" name="password" placeholder="請輸入密碼"><br/>
    <input type="submit" value="登錄">
</form>
 
</body>
</html>

前端轉(zhuǎn)賬頁面代碼

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>轉(zhuǎn)賬</title>
</head>
<body>
<h1>我是網(wǎng)站A,轉(zhuǎn)賬頁面</h1>
 
<form method="post">
    <label>賬戶:</label><input type="text" name="to_account" placeholder="請輸入要轉(zhuǎn)賬的賬戶"><br/>
    <label>金額:</label><input type="number" name="money" placeholder="請輸入轉(zhuǎn)賬金額"><br/>
    <input type="submit" value="轉(zhuǎn)賬">
</form>
 
</body>
</html>

運(yùn)行測試,如果在未登錄的情況下,不能直接進(jìn)入轉(zhuǎn)賬頁面,測試轉(zhuǎn)賬是成功的

攻擊網(wǎng)站B的代碼

后端代碼實(shí)現(xiàn)

#定義路由
from django.conf.urls import url
from ads import views
 
urlpatterns = [
    url(r'^$',views.AdsView.as_view()),
]
 
#定義視圖
class AdsView(View):
 
    def get(self,request):
 
        return render(request,'index.html')

前端代碼實(shí)現(xiàn)

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
 
<h1>我是網(wǎng)站B</h1>
 
<form method="post" action="http://127.0.0.1:9000/transfer/">
    <input type="hidden" name="to_account" value="黑客">
    <input type="hidden" name="money" value="190000" hidden>
    <input type="submit" value="點(diǎn)擊領(lǐng)取優(yōu)惠券">
</form>
 
</body>
</html>

運(yùn)行測試,在用戶登錄網(wǎng)站A的情況下,點(diǎn)擊網(wǎng)站B的按鈕,可以實(shí)現(xiàn)偽造訪問

在網(wǎng)站A中實(shí)現(xiàn) csrf_token 校驗(yàn)的流程 導(dǎo)入生成 csrf_token 的函數(shù)

 from django.middleware.csrf import get_token
 csrf_token = get_token(request)

在渲染轉(zhuǎn)賬頁面的,做以下幾件事情:

  • 生成 csrf_token 的值
  • 在返回轉(zhuǎn)賬頁面的響應(yīng)里面設(shè)置 csrf_token 到 cookie 中
  • 將 csrf_token 保存到表單的隱藏字段中
 def get(self, request):
        # 生成csrf_token
        from django.middleware.csrf import get_token
        csrf_token = get_token(request)
 
        # 渲染轉(zhuǎn)換頁面,傳入 csrf_token 到模板中
        response = render(request, 'transfer.html',context={'csrf_token':csrf_token})
 
        # 設(shè)置csrf_token到cookie中,用于提交校驗(yàn)
        response.set_cookie('csrf_token', csrf_token)
 
        return response

在轉(zhuǎn)賬模板表單中添加 csrf_token 隱藏字段

<head>
    <meta charset="UTF-8">
    <title>轉(zhuǎn)賬</title>
</head>
<body>
<h1>我是網(wǎng)站A,轉(zhuǎn)賬頁面</h1>
 
<form method="post">
    <input type="hidden" name="csrftoken" value="{{ csrf_token }}">
    <label>賬戶:</label><input type="text" name="to_account" placeholder="請輸入對方賬戶"><br/>
    <label>金額:</label><input type="number" name="money" placeholder="請輸入轉(zhuǎn)賬金額"><br/>
    <input type="submit" value="轉(zhuǎn)賬">
</form>
 
</body>
</html>

運(yùn)行測試,進(jìn)入到轉(zhuǎn)賬頁面之后,查看 cookie 和 html 源代碼

在執(zhí)行轉(zhuǎn)賬邏輯之前進(jìn)行 csrf_token 的校驗(yàn)

 # 取出表單中的 csrf_token
 form_csrf_token = request.POST.get("csrftoken")
 # 取出 cookie 中的 csrf_token
 cookie_csrf_token = request.COOKIES.get('csrf_token')
 # 進(jìn)行對比
 if cookie_csrf_token != form_csrf_token:
     return HttpResponse('token校驗(yàn)失敗,可能是非法操作')

運(yùn)行測試,用戶直接在網(wǎng)站 A 操作沒有問題,再去網(wǎng)站B進(jìn)行操作,發(fā)現(xiàn)轉(zhuǎn)賬不成功,因?yàn)榫W(wǎng)站 B 獲取不到表單中的 csrf_token 的隱藏字段,而且瀏覽器有同源策略,網(wǎng)站B是獲取不到網(wǎng)站A的 cookie 的,所以就解決了跨站請求偽造的問題

在 Django項(xiàng)目中解決 CSRF 攻擊

Django默認(rèn)是開啟CSRF的

模板中設(shè)置 CSRF 令牌

{% csrf_token %}
或者
<input type="hidden" value="{{ csrf_token }}">

到此這篇關(guān)于Django使用jinja2模板的實(shí)現(xiàn)的文章就介紹到這了,更多相關(guān)Django jinja2模板內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • Python selenium 加載并保存QQ群成員,去除其群主、管理員信息的示例代碼

    Python selenium 加載并保存QQ群成員,去除其群主、管理員信息的示例代碼

    這篇文章主要介紹了Python selenium 加載并保存QQ群成員 去除其群主、管理員信息的示例代碼,本文通過實(shí)例代碼給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友參考下吧
    2020-05-05
  • 解決Django部署設(shè)置Debug=False時(shí)xadmin后臺管理系統(tǒng)樣式丟失

    解決Django部署設(shè)置Debug=False時(shí)xadmin后臺管理系統(tǒng)樣式丟失

    這篇文章主要介紹了解決Django部署設(shè)置Debug=False時(shí)xadmin后臺管理系統(tǒng)樣式丟失的問題,具有很好的參考價(jià)值,希望對大家有所幫助。一起跟隨小編過來看看吧
    2020-04-04
  • Django框架驗(yàn)證碼用法實(shí)例分析

    Django框架驗(yàn)證碼用法實(shí)例分析

    這篇文章主要介紹了Django框架驗(yàn)證碼用法,結(jié)合實(shí)例形式分析了Python Django框架驗(yàn)證碼的功能、實(shí)現(xiàn)方法及相關(guān)操作技巧,需要的朋友可以參考下
    2019-05-05
  • Python使用PyMongo4.x操作MongoDB的教程分享

    Python使用PyMongo4.x操作MongoDB的教程分享

    PyMongo是一個(gè)Python編程語言中用于連接和操作MongoDB數(shù)據(jù)庫的庫,它提供了豐富的功能和API,使開發(fā)者能夠在Python中輕松地進(jìn)行MongoDB的數(shù)據(jù)交互和管理,本文給大家總結(jié)了Python如何使用PyMongo4.x操作MongoDB,需要的朋友可以參考下
    2023-09-09
  • Pycharm更換安裝源與添加第三方庫方法詳解

    Pycharm更換安裝源與添加第三方庫方法詳解

    在使用Pycharm的時(shí)候不免要下載許多的第三方庫,特別是移植過來的項(xiàng)目更是一個(gè)文件的依賴包需要下載而Pycharm默認(rèn)的官方源下載比較慢,所以下面這篇文章主要給大家介紹了關(guān)于Pycharm更換安裝源與添加第三方庫的相關(guān)資料,需要的朋友可以參考下
    2023-02-02
  • python 使用pandas讀取csv文件的方法

    python 使用pandas讀取csv文件的方法

    這篇文章主要介紹了python 使用pandas讀取csv文件的方法,本文結(jié)合示例代碼給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下
    2022-12-12
  • python虛擬環(huán)境的安裝配置圖文教程

    python虛擬環(huán)境的安裝配置圖文教程

    下面小編就為大家?guī)硪黄猵ython虛擬環(huán)境的安裝配置圖文教程。小編覺得挺不錯(cuò)的,現(xiàn)在就分享給大家,也給大家做個(gè)參考。一起跟隨小編過來看看吧
    2017-10-10
  • python使用urllib模塊和pyquery實(shí)現(xiàn)阿里巴巴排名查詢

    python使用urllib模塊和pyquery實(shí)現(xiàn)阿里巴巴排名查詢

    這篇文章主要介紹了python庫urllib及pyquery基本東西的應(yīng)用,實(shí)現(xiàn)阿里巴巴關(guān)鍵詞排名的查詢,其中涉及到urllib代理的設(shè)置,pyquery對html文檔的解析
    2014-01-01
  • 詳談Python 窗體(tkinter)表格數(shù)據(jù)(Treeview)

    詳談Python 窗體(tkinter)表格數(shù)據(jù)(Treeview)

    今天小編就為大家分享一篇詳談Python 窗體(tkinter)表格數(shù)據(jù)(Treeview),具有很好的參考價(jià)值,希望對大家有所幫助。一起跟隨小編過來看看吧
    2018-10-10
  • 高效測試用例組織算法pairwise之Python實(shí)現(xiàn)方法

    高效測試用例組織算法pairwise之Python實(shí)現(xiàn)方法

    下面小編就為大家?guī)硪黄咝y試用例組織算法pairwise之Python實(shí)現(xiàn)方法。小編覺得挺不錯(cuò)的,現(xiàn)在就分享給大家,也給大家做個(gè)參考。一起跟隨小編過來看看吧
    2017-07-07

最新評論