Django使用jinja2模板的實現(xiàn)

更新時間：2023年02月23日 09:01:28 作者：Echo-Niu

本文主要介紹了Django使用jinja2模板的實現(xiàn)，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧

jinja2介紹

Jinja2：是 Python 下一個被廣泛應用的模板引擎，是由Python實現(xiàn)的模板語言，他的設計思想來源于 Django 的模板引擎，并擴展了其語法和一系列強大的功能，尤其是Flask框架內置的模板語言

由于django默認模板引擎功能不齊全,速度慢，所以我們也可以在Django中使用jinja2, jinja2宣稱比django默認模板引擎快10-20倍。

Django主流的第三方APP基本上也都同時支持Django默認模板及jinja2，所以要用jinja2也不會有多少障礙。

安裝jinja2模塊

pip install jinja2

Django配置jinja2

1.在項目文件中創(chuàng)建 jinja2_env.py 文件

from jinja2 import Environment
 
def environment(**options):
    env = Environment(**options)
 
    return env

2.在settings.py文件

TEMPLATES = [
    {
        'BACKEND': 'django.template.backends.jinja2.Jinja2',#修改1
        'DIRS': [os.path.join(BASE_DIR, 'templates')],
        'APP_DIRS':True,
        'OPTIONS':{
            'environment': 'jinja2_env.environment',# 修改2
            'context_processors':[
                'django.template.context_processors.debug',
                'django.template.context_processors.request',
                'django.contrib.auth.context_processors.auth',
                'django.contrib.messages.context_processors.messages',
            ],
        },
    },
]

jinja2模板的使用絕大多數(shù)和Django自帶模板一樣

jinja2自定義過濾器

Django文檔

在jinja2_env.py文件中自定義過濾器

from jinja2 import Environment
 
def environment(**options):
    env = Environment(**options)
 
    # 2.將自定義的過濾器添加到 環(huán)境中
    env.filters['do_listreverse'] = do_listreverse
 
    return env
 
# 1.自定義過濾器
def do_listreverse(li):
    if li == "B":
        return "哈哈"

CSRF

CSRF全拼為Cross Site Request Forgery，譯為跨站請求偽造。

CSRF指攻擊者盜用了你的身份，以你的名義發(fā)送惡意請求。

包括：以你名義發(fā)送郵件，發(fā)消息，盜取你的賬號，甚至于購買商品，虛擬貨幣轉賬......

造成的問題：個人隱私泄露以及財產(chǎn)安全。

CSRF攻擊示意圖

客戶端訪問服務器時沒有同服務器做安全驗證

防止 CSRF 攻擊

步驟

在客戶端向后端請求界面數(shù)據(jù)的時候，后端會往響應中的 cookie 中設置 csrf_token 的值
在 Form 表單中添加一個隱藏的的字段，值也是 csrf_token
在用戶點擊提交的時候，會帶上這兩個值向后臺發(fā)起請求
后端接受到請求，以會以下幾件事件：
- 從 cookie中取出 csrf_token
- 從表單數(shù)據(jù)中取出來隱藏的 csrf_token 的值
- 進行對比
如果比較之后兩值一樣，那么代表是正常的請求，如果沒取到或者比較不一樣，代表不是正常的請求，不執(zhí)行下一步操作

代碼演示

未進行 csrf 校驗的 WebA

后端代碼實現(xiàn)

#定義路由
from django.conf.urls  import url
from pay import views
urlpatterns = [
    url(r'^$',views.LoginView.as_view(),name='index'),   #登錄路由 
    url(r'^transfer/$',views.TransferView.as_view(),name='transfer'), #轉賬路由
]
 
#定義視圖
class LoginView(View):
 
    def post(self,request):
 
        # 取到表單中提交上來的參數(shù)
        username = request.POST.get("username")
        password = request.POST.get("password")
 
        if not all([username, password]):
            print('參數(shù)錯誤')
        else:
            print(username, password)
            if username == 'laowang' and password == '1234':
                # 狀態(tài)保持，設置用戶名到cookie中表示登錄成功
                response = redirect(reverse('transfer'))
                response.set_cookie('username', username)
                return response
            else:
                print('密碼錯誤')
        return render(request,'login.html')
    def get(self,request):
        return render(request,'login.html')
 
class TransferView(View):
 
 
    def post(self,request):
        # 從cookie中取到用戶名
        username = request.COOKIES.get('username', None)
        # 如果沒有取到，代表沒有登錄
        if not username:
            return redirect(reverse('index'))
 
 
        to_account = request.POST.get("to_account")
        money = request.POST.get("money")
 
        print('假裝執(zhí)行轉操作，將當前登錄用戶的錢轉賬到指定賬戶')
        return HttpResponse('轉賬 %s 元到 %s 成功' % (money, to_account))
 
    def get(self, request):
        # 渲染轉換頁面
        response = render(request, 'transfer.html')
 
        return response

前端登錄頁面代碼

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登錄</title>
</head>
<body>
 
<h1>我是網(wǎng)站A，登錄頁面</h1>
 
<form method="post">
    <label>用戶名：</label><input type="text" name="username" placeholder="請輸入用戶名"><br/>
    <label>密碼：</label><input type="password" name="password" placeholder="請輸入密碼"><br/>
    <input type="submit" value="登錄">
</form>
 
</body>
</html>

前端轉賬頁面代碼

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>轉賬</title>
</head>
<body>
<h1>我是網(wǎng)站A，轉賬頁面</h1>
 
<form method="post">
    <label>賬戶：</label><input type="text" name="to_account" placeholder="請輸入要轉賬的賬戶"><br/>
    <label>金額：</label><input type="number" name="money" placeholder="請輸入轉賬金額"><br/>
    <input type="submit" value="轉賬">
</form>
 
</body>
</html>

運行測試，如果在未登錄的情況下，不能直接進入轉賬頁面，測試轉賬是成功的

攻擊網(wǎng)站B的代碼

后端代碼實現(xiàn)

#定義路由
from django.conf.urls import url
from ads import views
 
urlpatterns = [
    url(r'^$',views.AdsView.as_view()),
]
 
#定義視圖
class AdsView(View):
 
    def get(self,request):
 
        return render(request,'index.html')

前端代碼實現(xiàn)

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
 
<h1>我是網(wǎng)站B</h1>
 
<form method="post" action="http://127.0.0.1:9000/transfer/">
    <input type="hidden" name="to_account" value="黑客">
    <input type="hidden" name="money" value="190000" hidden>
    <input type="submit" value="點擊領取優(yōu)惠券">
</form>
 
</body>
</html>

運行測試，在用戶登錄網(wǎng)站A的情況下，點擊網(wǎng)站B的按鈕，可以實現(xiàn)偽造訪問

在網(wǎng)站A中實現(xiàn) csrf_token 校驗的流程導入生成 csrf_token 的函數(shù)

 from django.middleware.csrf import get_token
 csrf_token = get_token(request)

在渲染轉賬頁面的，做以下幾件事情：

生成 csrf_token 的值
在返回轉賬頁面的響應里面設置 csrf_token 到 cookie 中
將 csrf_token 保存到表單的隱藏字段中

 def get(self, request):
        # 生成csrf_token
        from django.middleware.csrf import get_token
        csrf_token = get_token(request)
 
        # 渲染轉換頁面，傳入 csrf_token 到模板中
        response = render(request, 'transfer.html',context={'csrf_token':csrf_token})
 
        # 設置csrf_token到cookie中，用于提交校驗
        response.set_cookie('csrf_token', csrf_token)
 
        return response

在轉賬模板表單中添加 csrf_token 隱藏字段

<head>
    <meta charset="UTF-8">
    <title>轉賬</title>
</head>
<body>
<h1>我是網(wǎng)站A，轉賬頁面</h1>
 
<form method="post">
    <input type="hidden" name="csrftoken" value="{{ csrf_token }}">
    <label>賬戶：</label><input type="text" name="to_account" placeholder="請輸入對方賬戶"><br/>
    <label>金額：</label><input type="number" name="money" placeholder="請輸入轉賬金額"><br/>
    <input type="submit" value="轉賬">
</form>
 
</body>
</html>

運行測試，進入到轉賬頁面之后，查看 cookie 和 html 源代碼

在執(zhí)行轉賬邏輯之前進行 csrf_token 的校驗

 # 取出表單中的 csrf_token
 form_csrf_token = request.POST.get("csrftoken")
 # 取出 cookie 中的 csrf_token
 cookie_csrf_token = request.COOKIES.get('csrf_token')
 # 進行對比
 if cookie_csrf_token != form_csrf_token:
     return HttpResponse('token校驗失敗，可能是非法操作')

運行測試，用戶直接在網(wǎng)站 A 操作沒有問題，再去網(wǎng)站B進行操作，發(fā)現(xiàn)轉賬不成功，因為網(wǎng)站 B 獲取不到表單中的 csrf_token 的隱藏字段，而且瀏覽器有同源策略，網(wǎng)站B是獲取不到網(wǎng)站A的 cookie 的，所以就解決了跨站請求偽造的問題

在 Django項目中解決 CSRF 攻擊

Django默認是開啟CSRF的

模板中設置 CSRF 令牌

{% csrf_token %}
或者
<input type="hidden" value="{{ csrf_token }}">

到此這篇關于Django使用jinja2模板的實現(xiàn)的文章就介紹到這了,更多相關Django jinja2模板內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

Python selenium 加載并保存QQ群成員,去除其群主、管理員信息的示例代碼
這篇文章主要介紹了Python selenium 加載并保存QQ群成員去除其群主、管理員信息的示例代碼，本文通過實例代碼給大家介紹的非常詳細，對大家的學習或工作具有一定的參考借鑒價值，需要的朋友參考下吧
2020-05-05
解決Django部署設置Debug=False時xadmin后臺管理系統(tǒng)樣式丟失
這篇文章主要介紹了解決Django部署設置Debug=False時xadmin后臺管理系統(tǒng)樣式丟失的問題，具有很好的參考價值，希望對大家有所幫助。一起跟隨小編過來看看吧
2020-04-04
Django框架驗證碼用法實例分析
這篇文章主要介紹了Django框架驗證碼用法,結合實例形式分析了Python Django框架驗證碼的功能、實現(xiàn)方法及相關操作技巧,需要的朋友可以參考下
2019-05-05
Python使用PyMongo4.x操作MongoDB的教程分享
PyMongo是一個Python編程語言中用于連接和操作MongoDB數(shù)據(jù)庫的庫,它提供了豐富的功能和API,使開發(fā)者能夠在Python中輕松地進行MongoDB的數(shù)據(jù)交互和管理,本文給大家總結了Python如何使用PyMongo4.x操作MongoDB,需要的朋友可以參考下
2023-09-09
Pycharm更換安裝源與添加第三方庫方法詳解
在使用Pycharm的時候不免要下載許多的第三方庫,特別是移植過來的項目更是一個文件的依賴包需要下載而Pycharm默認的官方源下載比較慢,所以下面這篇文章主要給大家介紹了關于Pycharm更換安裝源與添加第三方庫的相關資料,需要的朋友可以參考下
2023-02-02
python 使用pandas讀取csv文件的方法
這篇文章主要介紹了python 使用pandas讀取csv文件的方法,本文結合示例代碼給大家介紹的非常詳細，對大家的學習或工作具有一定的參考借鑒價值，需要的朋友可以參考下
2022-12-12
python虛擬環(huán)境的安裝配置圖文教程
下面小編就為大家?guī)硪黄猵ython虛擬環(huán)境的安裝配置圖文教程。小編覺得挺不錯的，現(xiàn)在就分享給大家，也給大家做個參考。一起跟隨小編過來看看吧
2017-10-10
python使用urllib模塊和pyquery實現(xiàn)阿里巴巴排名查詢
這篇文章主要介紹了python庫urllib及pyquery基本東西的應用，實現(xiàn)阿里巴巴關鍵詞排名的查詢，其中涉及到urllib代理的設置，pyquery對html文檔的解析
2014-01-01
詳談Python 窗體(tkinter)表格數(shù)據(jù)(Treeview)
今天小編就為大家分享一篇詳談Python 窗體(tkinter)表格數(shù)據(jù)(Treeview)，具有很好的參考價值，希望對大家有所幫助。一起跟隨小編過來看看吧
2018-10-10
高效測試用例組織算法pairwise之Python實現(xiàn)方法
下面小編就為大家?guī)硪黄咝y試用例組織算法pairwise之Python實現(xiàn)方法。小編覺得挺不錯的，現(xiàn)在就分享給大家，也給大家做個參考。一起跟隨小編過來看看吧
2017-07-07