#
欢迎我们访问笔者的村办网站《刘江先生的博客和科目》:[www.liujiangblog.com](http://www.liujiangblog.com)
# 主要分享Python 及Django教程以及相关的博客
# 交流QQ群:453131687


 

 

  Django是多少个大而全的web框架,为我们提供了累累实用的效益,本文紧要介绍Form、CS索罗德F、cookie和session

一、Form

   在web页面中form表单是主要的组成部分,为了多少安全和削减后台服务器的压力,平常大家在前端会对form表单进行多少合法性验证,但哪怕如此,后台的数据印证依然是必须不可省略的,原因很简单前端数据足以被冒用或js直接被剥夺。

  Django内置了贰个有力的Form功能,帮我们火速自定义后台数据印证,它的格局格外类似model类的定义方法,并且两者也具有内在联系。

1.数目合法性验证

  在app中新建form.py文件,开始写大家的form表单类:

#!/usr/bin/env python
# -*- coding:utf-8 -*-
import re
from django import forms
from django.core.exceptions import ValidationError


def mobile_validate(value):
    mobile_re = re.compile(r'^(13[0-9]|15[012356789]|17[678]|18[0-9]|14[57])[0-9]{8}$')
    if not mobile_re.match(value):
        raise ValidationError('手机号码格式错误')


class PublishForm(forms.Form):

    user_type_choice = (
        (0, u'普通用户'),
        (1, u'高级用户'),
    )

    user_type = forms.IntegerField(widget=forms.widgets.Select(choices=user_type_choice,
                                                                  attrs={'class': "form-control"}))

    title = forms.CharField(max_length=20,
                            min_length=5,
                            error_messages={'required': u'标题不能为空',
                                            'min_length': u'标题最少为5个字符',
                                            'max_length': u'标题最多为20个字符'},
                            widget=forms.TextInput(attrs={'class': "form-control",
                                                          'placeholder': u'标题5-20个字符'}))

    memo = forms.CharField(required=False,
                           max_length=256,
                           widget=forms.widgets.Textarea(attrs={'class': "form-control no-radius", 'placeholder': u'详细描述', 'rows': 3}))

    phone = forms.CharField(validators=[mobile_validate, ],
                            error_messages={'required': u'手机不能为空'},
                            widget=forms.TextInput(attrs={'class': "form-control",
                                                          'placeholder': u'手机号码'}))

    email = forms.EmailField(required=False,
                            error_messages={'required': u'邮箱不能为空','invalid': u'邮箱格式错误'},
                            widget=forms.TextInput(attrs={'class': "form-control", 'placeholder': u'邮箱'}))

 具体表达看下图:

图片 1 

 要点:

  1.导入八个模块,继承forms.Form类;

  2.名字以及field类型一定要和models数据库的类中的字段名相同,那样才便宜存入数据

  3.好像maxlength一类的参数一定假设数据库中的一致,无法发生冲突。

  4.方可因而error_messages自定义中文错误信息

  5.方可因而widget定制CSS中的class,属性等等,美化全靠它

  6.放到检验功效一旦不够用,能够自定义。自定义方法的调用,参考phone部分的代码。

 

form类写好了,就要在views里采纳它:

def publish(request):
    ret = {'status': False, 'data': '', 'error': '', 'summary': ''}
    if request.method == 'POST':
        request_form = PublishForm(request.POST)
        if request_form.is_valid():
            request_dict = request_form.clean()
            print request_dict
            ret['status'] = True
        else:
            error_msg = request_form.errors.as_json()
            ret['error'] = json.loads(error_msg)
    return HttpResponse(json.dumps(ret))

  详细分解:

图片 2

  erros是表达错误的指示新闻,as_json()方法是将它转换成json格式。

  实际上,可以通过data =
cleaned_data()方法获取数据字典,然后,models.类名(**data)直接将数据传递给数据库进行封存,节省了大气的代码。

2. 自动生成html中的form成分

 

  实际上form可以自动帮你在html文件中生成form表单成分(注意:不会生成<form>标签),省去了您某个前端的工作,但同时也拉动CSS和JS的分神。

  就不上图了,具体应用办法:

  1. views里生成三个form类的实例:  obj = Book()

  2.把那几个实例当做参数传递给render方法:render(request, “xxx.html”,
{“book_form”:obj})

  3.在xxx.html中采取Django的模版语言进行编辑,那几个时候的book_form其实就是1个字典。

  你可以省略的应用{{book_form}},样子会让你丑到哭,也足以行使额外的class和attr,那就需求你来回的在前后端之间举办倒卖。

 

3.  利用ModelForm表单

 

  实际上Django为了懒惰的你,提供了越发的form表单封装,你可以直接使用你在model数据库表类中写的class创设form类,那样您的form类和model类就保持了一致,

数量存储方便快捷。

 1 class AdminModelForm(forms.ModelForm):
 2       
 3     class Meta:
 4         model = models.Admin
 5         #fields = '__all__'
 6         fields = ('username', 'email')
 7           
 8         widgets = {
 9             'email' : forms.PasswordInput(attrs={'class':"alex"}),
10         }

  要点:

  1.留意继承了哪位类

  2.注意类里又建立了个Meta类

  3.注意model = models.Admin
中model是固定的,models代表你的数据库模型哪个文件,Admin则是models里你想form验证的类。

  4. fields = (‘username’,
’email’)无法简单,仍是可以exclude=(xxxx),用于破除某个字段

  5. widgets是切实的安装

  6.最后交给数据的时候,甚至只须求简单的save()一下就足以将数据保存到数据库里。

  7.去读官方文档吧,技术细节在急需的时候才去查看,你一贯记不东山再起的!

 

  

二、CSRF

  (1)开启CSRF功能

   CSENVISIONF:跨站请求伪造。一种简单的web访问安全机制,拒绝接受未经授权的数码请求,常针对表单POST。

  平常的景况下,首次访问页面时,服务器会回来一条随机字符串给用户,用户下次提交表单时,指导该字符串就可以透过CS宝马7系F的判定了。

  django内置了预防跨站请求伪造的效率,暗中同意开启。通过中间件 django.middleware.csrf.CsrfViewMiddleware
来达成,

诠释settings中的该行则关闭该意义,然而通过上面的装饰器依旧可以指定。

  django中设置防跨站请求伪造成效分为全局设置和一部分设置。其实就是您可以一股脑全拒绝或全接受,也得以安装区其他。

全局:

  中间件 django.middleware.csrf.CsrfViewMiddleware

一些:(就是给要列外的函数加个装饰器)

  • @csrf_protect,为近来函数强制安装防跨站请求伪造功效,即使settings中尚无设置全局中间件。
  • @csrf_exempt,裁撤当前函数防跨站请求伪造功效,即使settings中安装了大局中间件。

  注:须求导入from django.views.decorators.csrf import
csrf_exempt,csrf_protect

   (2)使用

  对于常见的form标签post的时候:在<form></form>的范围内添加{%
csrf_token %}就足以了。只要您学透了django的框架本质,那种

艺术的法则就很简单驾驭,自身就能看懂。

  不过上边的点子对于使用ajax发送表单数据的主意来说就不行了,原因很简短,ajax发送什么都需求您自身指定,

它和django之间没有直接的置换csrf那串字符串的“通道”。由此,就相比较吃力了,须求通过cookie的帮扶。

  下边是django官方提供的消除办法,不要商讨怎么那样做,因为那是djanggo相关的,你直接copy过去用,1个字符都别改。

  首先下载插件jquery.cookie.js.

  在views文件里如此写:

图片 3图片 4

1 from django.template.context import RequestContext
2 # Create your views here.
3   
4   
5 def test(request):
6   
7     if request.method == 'POST':
8         return HttpResponse('ok')
9     return  render_to_response('app01/test.html',context_instance=RequestContext(request))

Views

  那是用来在get的时候回来csrf字符串的。

  在html文件中如此写:

图片 5图片 6

 1 !DOCTYPE html>
 2 <html>
 3 <head lang="en">
 4     <meta charset="UTF-8">
 5     <title></title>
 6 </head>
 7 <body>
 8     {% csrf_token %}
 9   
10     <input type="button" onclick="Do();"  value="Do it"/>
11   
12     <script src="/static/plugin/jquery/jquery-1.8.0.js"></script>
13     <script src="/static/plugin/jquery/jquery.cookie.js"></script>
14     <script type="text/javascript">
15         var csrftoken = $.cookie('csrftoken');
16   
17         function csrfSafeMethod(method) {
18             // these HTTP methods do not require CSRF protection
19             return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
20         }
21         $.ajaxSetup({
22             beforeSend: function(xhr, settings) {
23                 if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
24                     xhr.setRequestHeader("X-CSRFToken", csrftoken);
25                 }
26             }
27         });
28         function Do(){
29   
30             $.ajax({
31                 url:"/app01/test/",
32                 data:{id:1},
33                 type:'POST',
34                 success:function(data){
35                     console.log(data);
36                 }
37             });
38   
39         }
40     </script>
41 </body>
42 </html>

html

  愈来愈多参考官网:https://docs.djangoproject.com/en/dev/ref/csrf/\#ajax

三、cookie

   cookie就是“小饼干”,是背后在你的电脑里存放的一些网站相关的新闻。

  它很不安全,是隔三差五被攻击的对象,也是败露个人重大新闻的重灾区,由此,你在设计web页面时,请不要往cookie里存放敏感新闻。

  既然那样,大家一贯在浏览器里禁用它得了
!很几个人都如此干,不过又开拓了,为何?京东、天猫等网站尚未cookie协助你登录不了的….

  cookie仍旧有一些效用的,而且动用起来很方便。

  1、获取Cookie:  

request.COOKIES['key']
request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None)
    参数:
        default: 默认值
           salt: 加密盐
        max_age: 后台控制过期时间

  2、设置Cookie:

rep = HttpResponse(...) 或 rep = render(request, ...)

rep.set_cookie(key,value,...)
rep.set_signed_cookie(key,value,salt='加密盐',...)
    参数:
        key,              键
        value='',         值
        max_age=None,     超时时间
        expires=None,     超时时间(IE requires expires, so set it if hasn't been already.)
        path='/',         Cookie生效的路径,/ 表示根路径,特殊的:跟路径的cookie可以被任何url的页面访问
        domain=None,      Cookie生效的域名
        secure=False,     https传输
        httponly=False    只能http协议传输,无法被JavaScript获取(不是绝对,底层抓包可以获取到也可以被覆盖)

  由于cookie保存在客户端的处理器上,所以,JavaScript和jquery也可以操作cookie。

<script src='/static/js/jquery.cookie.js'></script>
$.cookie("list_pager_num", 30,{ path: '/' });

   

四、session 会话

 

Django自带Session功用,其中间提供了5种档次的Session供开发者使用:

  • 数据库(默认)
  • 缓存
  • 文件
  • 缓存+数据库
  • 加密cookie

实质的区分是怎么样?session文件的寄放地方!

1、数据库Session

  友情指示:在最初,必须先makemigration,生成django_session表的哦!

图片 7图片 8

 1 Django默认是将Session数据存储在数据库中,即:django_session 表中。
 2  
 3 a. 配置 settings.py
 4  
 5     SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎(默认)
 6      
 7     SESSION_COOKIE_NAME = "sessionid"                       # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认)
 8     SESSION_COOKIE_PATH = "/"                               # Session的cookie保存的路径(默认)
 9     SESSION_COOKIE_DOMAIN = None                             # Session的cookie保存的域名(默认)
10     SESSION_COOKIE_SECURE = False                            # 是否Https传输cookie(默认)
11     SESSION_COOKIE_HTTPONLY = True                           # 是否Session的cookie只支持http传输(默认)
12     SESSION_COOKIE_AGE = 1209600                             # Session的cookie失效日期(2周)(默认)
13     SESSION_EXPIRE_AT_BROWSER_CLOSE = False                  # 是否关闭浏览器使得Session过期(默认)
14     SESSION_SAVE_EVERY_REQUEST = False                       # 是否每次请求都保存Session,默认修改之后才保存(默认)
15  
16  
17  
18 b. 使用
19  
20     def index(request):
21         # 获取、设置、删除Session中数据
22         request.session['k1']
23         request.session.get('k1',None)
24         request.session['k1'] = 123
25         request.session.setdefault('k1',123) # 存在则不设置
26         del request.session['k1']
27  
28         # 所有 键、值、键值对
29         request.session.keys()
30         request.session.values()
31         request.session.items()
32         request.session.iterkeys()
33         request.session.itervalues()
34         request.session.iteritems()
35  
36  
37         # 用户session的随机字符串
38         request.session.session_key
39  
40         # 将所有Session失效日期小于当前日期的数据删除
41         request.session.clear_expired()
42  
43         # 检查 用户session的随机字符串 在数据库中是否
44         request.session.exists("session_key")
45  
46         # 删除当前用户的所有Session数据
47         request.session.delete("session_key")

View Code

2、缓存Session

图片 9图片 10

a. 配置 settings.py

    SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
    SESSION_CACHE_ALIAS = 'default'                            # 使用的缓存别名(默认内存缓存,也可以是memcache),此处别名依赖缓存的设置


    SESSION_COOKIE_NAME = "sessionid"                        # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串
    SESSION_COOKIE_PATH = "/"                                # Session的cookie保存的路径
    SESSION_COOKIE_DOMAIN = None                              # Session的cookie保存的域名
    SESSION_COOKIE_SECURE = False                             # 是否Https传输cookie
    SESSION_COOKIE_HTTPONLY = True                            # 是否Session的cookie只支持http传输
    SESSION_COOKIE_AGE = 1209600                              # Session的cookie失效日期(2周)
    SESSION_EXPIRE_AT_BROWSER_CLOSE = False                   # 是否关闭浏览器使得Session过期
    SESSION_SAVE_EVERY_REQUEST = False                        # 是否每次请求都保存Session,默认修改之后才保存



b. 使用

    同上

View Code

3、文件Session

图片 11图片 12

 1 a. 配置 settings.py
 2  
 3     SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
 4     SESSION_FILE_PATH = None                                    # 缓存文件路径,如果为None,则使用tempfile模块获取一个临时地址tempfile.gettempdir()                                                            # 如:/var/folders/d3/j9tj0gz93dg06bmwxmhh6_xm0000gn/T
 5  
 6  
 7     SESSION_COOKIE_NAME = "sessionid"                          # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串
 8     SESSION_COOKIE_PATH = "/"                                  # Session的cookie保存的路径
 9     SESSION_COOKIE_DOMAIN = None                                # Session的cookie保存的域名
10     SESSION_COOKIE_SECURE = False                               # 是否Https传输cookie
11     SESSION_COOKIE_HTTPONLY = True                              # 是否Session的cookie只支持http传输
12     SESSION_COOKIE_AGE = 1209600                                # Session的cookie失效日期(2周)
13     SESSION_EXPIRE_AT_BROWSER_CLOSE = False                     # 是否关闭浏览器使得Session过期
14     SESSION_SAVE_EVERY_REQUEST = False                          # 是否每次请求都保存Session,默认修改之后才保存
15  
16 b. 使用
17  
18     同上

View Code

4、缓存+数据库Session

图片 13图片 14

1 数据库用于做持久化,缓存用于提高效率
2  
3 a. 配置 settings.py
4  
5     SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎
6  
7 b. 使用
8  
9     同上

View Code

5、加密cookie Session

图片 15图片 16

1 a. 配置 settings.py
2      
3     SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎
4  
5 b. 使用
6  
7     同上

View Code

更加多参考:https://docs.djangoproject.com/en/1.9/topics/http/sessions/

以及:https://docs.djangoproject.com/en/1.9/ref/settings/\#settings-sessions

扩展:Session用户验证(将注明做成个装饰器,什么措施必要已登陆为前提,就给它加那顶帽子!)

图片 17图片 18

1 def login(func):
2     def wrap(request, *args, **kwargs):
3         # 如果未登陆,跳转到指定页面
4         if request.path == '/test/':
5             return redirect('http://www.baidu.com')
6         return func(request, *args, **kwargs)
7     return wrap

View Code

 

相关文章

网站地图xml地图