Python工程师进阶宝典必学框架Django之中间件与CSRF(附详细说明)

如果手机上显示代码错乱，请分享到QQ或者其他地方，用电脑查看！！！

python能干的东西有很多，这里不再过多叙述，直接重点干货。

中间件简介

django 中的中间件（middleware），在django中，中间件其实就是一个类，在请求到来和结束后，django会根据自己的规则在合适的时机执行中间件中相应的方法。

在django项目的settings模块中，有一个 MIDDLEWARE_CLASSES 变量，其中每一个元素就是一个中间件

中间件中一共有四个方法：

process_request

process_view

process_exception

process_response

中间件之process_request，process_response

process_request(self,request)

process_response(self, request, response)

当用户发起请求的时候会依次经过所有的的中间件，这个时候的请求时process_request,最后到达views的函数中，views函数处理后，在依次穿过中间件，这个时候是process_response,最后返回给请求者

在django中叫中间件，在其他web框架中，有的叫管道，httphandle

上述截图中的中间件都是django中的，我们也可以自己定义一个中间件，我们可以自己写一个类，但是必须继承MiddlewareMixin

所以需要导入：from django.utils.deprecation import MiddlewareMixin

我们在项目文件下创建一个Middle目录，并在下面创建m1.py代码例子如下：

#AUTHOR:FAN

from django.utils.deprecation import MiddlewareMixin

from django.shortcuts import HttpResponse

class Row1(MiddlewareMixin):

def process_request(self,request):

print("中间件1请求")

def process_response(self,request,response):

print("中间件1返回")

return response

class Row2(MiddlewareMixin):

def process_request(self,request):

print("中间件2请求")

# return HttpResponse("走")

def process_response(self,request,response):

print("中间件2返回")

return response

class Row3(MiddlewareMixin):

def process_request(self,request):

print("中间件3请求")

def process_response(self,request,response):

print("中间件3返回")

return response

这样当页面发起请求的时候：后台效果如下

但是如果当请求到达请求2的时候直接不符合条件返回，程序将吧请求直接发给中间件2返回，然后依次返回到请求者

用如下图进行理解：

当然这是在django1.10的时候，在之前的版本的时候是直接返回到最后一个中间件的response,然后向上依次返回，最后到发起请求

中间件之process_view

process_view(self, request, callback, callback_args, callback_kwargs)

我们在m1.py文件中的的代码进行更改：

#AUTHOR:FAN

from django.utils.deprecation import MiddlewareMixin

from django.shortcuts import HttpResponse

class Row1(MiddlewareMixin):

def process_request(self,request):

print("中间件1请求")

def process_response(self,request,response):

print("中间件1返回")

return response

def process_view(self, request, callback, callback_args, callback_kwargs):

print("中间件1view")

class Row2(MiddlewareMixin):

def process_request(self,request):

print("中间件2请求")

# return HttpResponse("走")

def process_response(self,request,response):

print("中间件2返回")

return response

def process_view(self, request, callback, callback_args, callback_kwargs):

print("中间件2view")

class Row3(MiddlewareMixin):

def process_request(self,request):

print("中间件3请求")

def process_response(self,request,response):

print("中间件3返回")

return response

def process_view(self, request, callback, callback_args, callback_kwargs):

print("中间件3view")

高亮部分为添加的内容，这样运行之后效果如下：

我们通过下图进行分析上面的过程：

当最后一个中间的process_request到达路由关系映射之后，返回到中间件1的process_view，然后依次往下，到达views函数，最后通过process_response依次返回到达用户

中间件之process_exception

process_exception(self, request, exception)

当views的函数中出现错误时，就会执行process_exception方法

如果在中间中添加了process_exception方法，工作图示为：

这样当用户发起请求的时候到达中间件3的process_request之后会到达urls路由关系映射这里，如果匹配到了就会到中间件1的process_view,然后依次传递到中间件3的process_view,到达view函数。如果view函数中有报错，则会从中间件3依次向上判断每个中间件的process_exception是否能匹配到这个错误信息，如果匹配到则直接返回到最后一个中间件，这里即中间件3的process_response，然后依次返回到用户，如果没有匹配到这个错误则直接在页面显示错误信息。如果view函数中没有错误，则到中间3即最后一个中间件3的process_response，然后依次向上，传到用户

中间件之process_template_responseprocess

process_template_response(self,request,response)

只有当views函数中返回的对象中具有render方法，是就会直接process_template_responseprocess。

Django进阶之CSRF

一、简介

django为用户实现防止跨站请求伪造的功能，通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。

全局：

中间件 django.middleware.csrf.CsrfViewMiddleware

局部：

@csrf_protect，为当前函数强制设置防跨站请求伪造功能，即便settings中没有设置全局中间件。

@csrf_exempt，取消当前函数防跨站请求伪造功能，即便settings中设置了全局中间件。

注意：from django.views.decorators.csrf import csrf_exempt,csrf_protect

二、原理

当用post提交数据的时候，django会去检查是否有一个csrf的随机字符串，如果没有就会报错，这也是之前我们一直将其注释的原因，错误如下：

在django内部支持生成这个随机字符串

三、通过form提交

在form表单里面需要添加{%csrf_token%}

这样当你查看页面源码的时候,可以看到form中有一个input是隐藏的

总结原理：当用户访问login页面的时候，会生成一个csrf的随机字符串，，并且cookie中也存放了这个随机字符串，当用户再次提交数据的时候会带着这个随机字符串提交，如果没有这个随机字符串则无法提交成功

cookie中存放的csrftoken如下图

四、通过ajax提交

因为cookie中同样存在csrftoken，所以可以在js中通过：

$.cooke("cstftoken")获取

如果通过ajax进行提交数据，这里提交的csrftoken是通过请求头中存放，需要提交一个字典类型的数据，即这个时候需要一个key。

在views中的login函数中：from django.conf import settings，然后打印print(settings.CSRF_HEADER_NAME)

这里需要注意一个问题，这里导入的settings并不是我们在项目文件下看到的settings.py文件，这里是是一个全局的settings配置，而当我们在项目目录下的settings.py中配置的时候，我们添加的配置则会覆盖全局settings中的配置

print(settings.CSRF_HEADER_NAME)打印的内容为：HTTP_X_CSRFTOKEN

这里的HTTP_X_CSRFTOKEN是django在X_CSRF的前面添加了HTTP_,所以实际传递的是就是X_CSRFtoken,而在前端页面的ajax传递的时候由于不能使用下划线所以传递的是X_CSRFtoken

下面是在前端ajax中写的具体内容:

但是如果页面中有多个ajax请求的话就在每个ajax中添加headers信息，所以可以通过下面方式在所有的ajax中都添加

这样就会在提交ajax之前执行这个方法，从而在所有的ajax里都加上这个csrftoken

这里的xhr是XMLHttpRequest的简写，ajax调用的就是这个方法

如果想要实现在当get方式的时候不需要提交csrftoken，当post的时候需要，实现这种效果的代码如下：

这样就实现了当GET|HEAD|OPTIONS|TRACE这些方式请求的时候不需要提交csrftoken

五、总结

1、csrf在ajax提交的时候通过请求头传递的给后台的

2、 csrf在前端的key为：X-CSRFtoken，到后端的时候django会自动添加HTTP_,并且最后为HTTP_X_CSRFtoken

3、csrf在form中提交的时需要在前端form中添加{%csrftoken%}。

以上是全部内容，只是善于分享，不足之处请包涵！爬虫基本的原理就是，获取源码，进而获取网页内容。一般来说，只要你给一个入口，通过分析，可以找到无限个其他相关的你需要的资源，进而进行爬取。

我也写了很多其他的非常简单的入门级的爬虫详细教程，关注后，点击我的头像，就可以查看到。

欢迎大家一起留言讨论和交流，谢谢！