Django使用jinja2模板的實(shí)現(xiàn)

更新時(shí)間：2023年02月23日 09:01:28 作者：Echo-Niu

本文主要介紹了Django使用jinja2模板的實(shí)現(xiàn)，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧

jinja2介紹

Jinja2：是 Python 下一個(gè)被廣泛應(yīng)用的模板引擎，是由Python實(shí)現(xiàn)的模板語(yǔ)言，他的設(shè)計(jì)思想來(lái)源于 Django 的模板引擎，并擴(kuò)展了其語(yǔ)法和一系列強(qiáng)大的功能，尤其是Flask框架內(nèi)置的模板語(yǔ)言

由于django默認(rèn)模板引擎功能不齊全,速度慢，所以我們也可以在Django中使用jinja2, jinja2宣稱比django默認(rèn)模板引擎快10-20倍。

Django主流的第三方APP基本上也都同時(shí)支持Django默認(rèn)模板及jinja2，所以要用jinja2也不會(huì)有多少障礙。

安裝jinja2模塊

pip install jinja2

Django配置jinja2

1.在項(xiàng)目文件中創(chuàng)建 jinja2_env.py 文件

from jinja2 import Environment
 
def environment(**options):
    env = Environment(**options)
 
    return env

2.在settings.py文件

TEMPLATES = [
    {
        'BACKEND': 'django.template.backends.jinja2.Jinja2',#修改1
        'DIRS': [os.path.join(BASE_DIR, 'templates')],
        'APP_DIRS':True,
        'OPTIONS':{
            'environment': 'jinja2_env.environment',# 修改2
            'context_processors':[
                'django.template.context_processors.debug',
                'django.template.context_processors.request',
                'django.contrib.auth.context_processors.auth',
                'django.contrib.messages.context_processors.messages',
            ],
        },
    },
]

jinja2模板的使用絕大多數(shù)和Django自帶模板一樣

jinja2自定義過(guò)濾器

Django文檔

在jinja2_env.py文件中自定義過(guò)濾器

from jinja2 import Environment
 
def environment(**options):
    env = Environment(**options)
 
    # 2.將自定義的過(guò)濾器添加到 環(huán)境中
    env.filters['do_listreverse'] = do_listreverse
 
    return env
 
# 1.自定義過(guò)濾器
def do_listreverse(li):
    if li == "B":
        return "哈哈"

CSRF

CSRF全拼為Cross Site Request Forgery，譯為跨站請(qǐng)求偽造。

CSRF指攻擊者盜用了你的身份，以你的名義發(fā)送惡意請(qǐng)求。

包括：以你名義發(fā)送郵件，發(fā)消息，盜取你的賬號(hào)，甚至于購(gòu)買商品，虛擬貨幣轉(zhuǎn)賬......

造成的問(wèn)題：個(gè)人隱私泄露以及財(cái)產(chǎn)安全。

CSRF攻擊示意圖

客戶端訪問(wèn)服務(wù)器時(shí)沒(méi)有同服務(wù)器做安全驗(yàn)證

防止 CSRF 攻擊

步驟

在客戶端向后端請(qǐng)求界面數(shù)據(jù)的時(shí)候，后端會(huì)往響應(yīng)中的 cookie 中設(shè)置 csrf_token 的值
在 Form 表單中添加一個(gè)隱藏的的字段，值也是 csrf_token
在用戶點(diǎn)擊提交的時(shí)候，會(huì)帶上這兩個(gè)值向后臺(tái)發(fā)起請(qǐng)求
后端接受到請(qǐng)求，以會(huì)以下幾件事件：
- 從 cookie中取出 csrf_token
- 從表單數(shù)據(jù)中取出來(lái)隱藏的 csrf_token 的值
- 進(jìn)行對(duì)比
如果比較之后兩值一樣，那么代表是正常的請(qǐng)求，如果沒(méi)取到或者比較不一樣，代表不是正常的請(qǐng)求，不執(zhí)行下一步操作

代碼演示

未進(jìn)行 csrf 校驗(yàn)的 WebA

后端代碼實(shí)現(xiàn)

#定義路由
from django.conf.urls  import url
from pay import views
urlpatterns = [
    url(r'^$',views.LoginView.as_view(),name='index'),   #登錄路由 
    url(r'^transfer/$',views.TransferView.as_view(),name='transfer'), #轉(zhuǎn)賬路由
]
 
#定義視圖
class LoginView(View):
 
    def post(self,request):
 
        # 取到表單中提交上來(lái)的參數(shù)
        username = request.POST.get("username")
        password = request.POST.get("password")
 
        if not all([username, password]):
            print('參數(shù)錯(cuò)誤')
        else:
            print(username, password)
            if username == 'laowang' and password == '1234':
                # 狀態(tài)保持，設(shè)置用戶名到cookie中表示登錄成功
                response = redirect(reverse('transfer'))
                response.set_cookie('username', username)
                return response
            else:
                print('密碼錯(cuò)誤')
        return render(request,'login.html')
    def get(self,request):
        return render(request,'login.html')
 
class TransferView(View):
 
 
    def post(self,request):
        # 從cookie中取到用戶名
        username = request.COOKIES.get('username', None)
        # 如果沒(méi)有取到，代表沒(méi)有登錄
        if not username:
            return redirect(reverse('index'))
 
 
        to_account = request.POST.get("to_account")
        money = request.POST.get("money")
 
        print('假裝執(zhí)行轉(zhuǎn)操作，將當(dāng)前登錄用戶的錢轉(zhuǎn)賬到指定賬戶')
        return HttpResponse('轉(zhuǎn)賬 %s 元到 %s 成功' % (money, to_account))
 
    def get(self, request):
        # 渲染轉(zhuǎn)換頁(yè)面
        response = render(request, 'transfer.html')
 
        return response

前端登錄頁(yè)面代碼

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登錄</title>
</head>
<body>
 
<h1>我是網(wǎng)站A，登錄頁(yè)面</h1>
 
<form method="post">
    <label>用戶名：</label><input type="text" name="username" placeholder="請(qǐng)輸入用戶名"><br/>
    <label>密碼：</label><input type="password" name="password" placeholder="請(qǐng)輸入密碼"><br/>
    <input type="submit" value="登錄">
</form>
 
</body>
</html>

前端轉(zhuǎn)賬頁(yè)面代碼

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>轉(zhuǎn)賬</title>
</head>
<body>
<h1>我是網(wǎng)站A，轉(zhuǎn)賬頁(yè)面</h1>
 
<form method="post">
    <label>賬戶：</label><input type="text" name="to_account" placeholder="請(qǐng)輸入要轉(zhuǎn)賬的賬戶"><br/>
    <label>金額：</label><input type="number" name="money" placeholder="請(qǐng)輸入轉(zhuǎn)賬金額"><br/>
    <input type="submit" value="轉(zhuǎn)賬">
</form>
 
</body>
</html>

運(yùn)行測(cè)試，如果在未登錄的情況下，不能直接進(jìn)入轉(zhuǎn)賬頁(yè)面，測(cè)試轉(zhuǎn)賬是成功的

攻擊網(wǎng)站B的代碼

后端代碼實(shí)現(xiàn)

#定義路由
from django.conf.urls import url
from ads import views
 
urlpatterns = [
    url(r'^$',views.AdsView.as_view()),
]
 
#定義視圖
class AdsView(View):
 
    def get(self,request):
 
        return render(request,'index.html')

前端代碼實(shí)現(xiàn)

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
 
<h1>我是網(wǎng)站B</h1>
 
<form method="post" action="http://127.0.0.1:9000/transfer/">
    <input type="hidden" name="to_account" value="黑客">
    <input type="hidden" name="money" value="190000" hidden>
    <input type="submit" value="點(diǎn)擊領(lǐng)取優(yōu)惠券">
</form>
 
</body>
</html>

運(yùn)行測(cè)試，在用戶登錄網(wǎng)站A的情況下，點(diǎn)擊網(wǎng)站B的按鈕，可以實(shí)現(xiàn)偽造訪問(wèn)

在網(wǎng)站A中實(shí)現(xiàn) csrf_token 校驗(yàn)的流程導(dǎo)入生成 csrf_token 的函數(shù)

 from django.middleware.csrf import get_token
 csrf_token = get_token(request)

在渲染轉(zhuǎn)賬頁(yè)面的，做以下幾件事情：

生成 csrf_token 的值
在返回轉(zhuǎn)賬頁(yè)面的響應(yīng)里面設(shè)置 csrf_token 到 cookie 中
將 csrf_token 保存到表單的隱藏字段中

 def get(self, request):
        # 生成csrf_token
        from django.middleware.csrf import get_token
        csrf_token = get_token(request)
 
        # 渲染轉(zhuǎn)換頁(yè)面，傳入 csrf_token 到模板中
        response = render(request, 'transfer.html',context={'csrf_token':csrf_token})
 
        # 設(shè)置csrf_token到cookie中，用于提交校驗(yàn)
        response.set_cookie('csrf_token', csrf_token)
 
        return response

在轉(zhuǎn)賬模板表單中添加 csrf_token 隱藏字段

<head>
    <meta charset="UTF-8">
    <title>轉(zhuǎn)賬</title>
</head>
<body>
<h1>我是網(wǎng)站A，轉(zhuǎn)賬頁(yè)面</h1>
 
<form method="post">
    <input type="hidden" name="csrftoken" value="{{ csrf_token }}">
    <label>賬戶：</label><input type="text" name="to_account" placeholder="請(qǐng)輸入對(duì)方賬戶"><br/>
    <label>金額：</label><input type="number" name="money" placeholder="請(qǐng)輸入轉(zhuǎn)賬金額"><br/>
    <input type="submit" value="轉(zhuǎn)賬">
</form>
 
</body>
</html>

運(yùn)行測(cè)試，進(jìn)入到轉(zhuǎn)賬頁(yè)面之后，查看 cookie 和 html 源代碼

在執(zhí)行轉(zhuǎn)賬邏輯之前進(jìn)行 csrf_token 的校驗(yàn)

 # 取出表單中的 csrf_token
 form_csrf_token = request.POST.get("csrftoken")
 # 取出 cookie 中的 csrf_token
 cookie_csrf_token = request.COOKIES.get('csrf_token')
 # 進(jìn)行對(duì)比
 if cookie_csrf_token != form_csrf_token:
     return HttpResponse('token校驗(yàn)失敗，可能是非法操作')

運(yùn)行測(cè)試，用戶直接在網(wǎng)站 A 操作沒(méi)有問(wèn)題，再去網(wǎng)站B進(jìn)行操作，發(fā)現(xiàn)轉(zhuǎn)賬不成功，因?yàn)榫W(wǎng)站 B 獲取不到表單中的 csrf_token 的隱藏字段，而且瀏覽器有同源策略，網(wǎng)站B是獲取不到網(wǎng)站A的 cookie 的，所以就解決了跨站請(qǐng)求偽造的問(wèn)題

在 Django項(xiàng)目中解決 CSRF 攻擊

Django默認(rèn)是開(kāi)啟CSRF的

模板中設(shè)置 CSRF 令牌

{% csrf_token %}
或者
<input type="hidden" value="{{ csrf_token }}">

到此這篇關(guān)于Django使用jinja2模板的實(shí)現(xiàn)的文章就介紹到這了,更多相關(guān)Django jinja2模板內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

Django使用jinja2模板的實(shí)現(xiàn)

目錄

jinja2介紹

安裝jinja2模塊

Django配置jinja2

jinja2自定義過(guò)濾器

CSRF

CSRF攻擊示意圖

防止 CSRF 攻擊

在 Django項(xiàng)目中解決 CSRF 攻擊

相關(guān)文章

最新評(píng)論

大家感興趣的內(nèi)容

最近更新的內(nèi)容

常用在線小工具