Django模版(二)

文章目錄

• Django模版(二)
• • 一、模板繼承
  • • 1.父模板
    • 2.子模板
    • 3.示例
  • 二、HTML轉義
  • • 1.示例
    • 2.關閉轉義
    • 3.字符串字面值
  • 三、CSRF
  • • 1.簡介
    • 2.示例
    • 3.防止CSRF
    • 4.保護原理

一、模板繼承

• 模板繼承和類的繼承含義是一樣的，主要是為了提高代碼重用，減輕開發人員的工作量。

典型應用：網站的頭部、尾部信息。

1.父模板

• 如果發現在多個模板中某些內容相同，那就應該把這段內容定義到父模板中。
• 標簽block：用于在父模板中預留區域，留給子模板填充差異性的內容，名字不能相同。
• 為了更好的可讀性，建議給endblock標簽寫上名字，這個名字與對應的block名字相同。父模板中也可以使用上下文中傳遞過來的數據。

{%block 名稱%} 預留區域，可以編寫默認內容，也可以沒有默認內容 {%endblock 名稱%}

2.子模板

• 標簽extends：繼承，寫在子模板文件的第一行。

{% extends "父模板路徑"%}

• 子模版不用填充父模版中的所有預留區域，如果子模版沒有填充，則使用父模版定義的默認值。
• 填充父模板中指定名稱的預留區域。
• 子模板去繼承父模板之后，可以重寫父模板中的某一塊的內容。

繼承格式：{% extends 父模板文件路徑%} {% block 塊名 %} {{ block.super}} #獲取父模板中塊的默認內容 重寫的內容 {% endblock 塊名%}

3.示例

1）打開booktest/views.py文件，創建視圖temp_inherit。

def temp_inherit(request):context={'title':'模板繼承','list':BookInfo.objects.all()}return render(request,'booktest/temp_inherit.html',context)

2）打開booktest/urls.py文件，配置url。

url(r'^temp_inherit/$', views.temp_inherit),

3）在templates下創建inherit_base.html。

<html> <head><title>{{title}}</title> </head> <body> <h2>這是頭</h2> <hr> {%block qu1%} 這是區域一，有默認值 {%endblock qu1%} <hr> {%block qu2%} {%endblock qu2%} <hr> <h2>這是尾</h2> </body> </html>

4）在templates/booktest下創建temp_inherit.html。

{%extends 'booktest/inherit_base.html'%} {%block qu2%} <ul>{%for book in list%}<li>{{book.btitle}}</li>{%endfor%} </ul> {%endblock qu2%}

5）運行服務器，在瀏覽器中輸入如下網址。

http://127.0.0.1:8000/temp_inherit/

6）瀏覽效果如下圖。

二、HTML轉義

• 模板對上下文傳遞的字符串進行輸出時，會對以下字符自動轉義。

小于號< 轉換為 &lt;大于號> 轉換為 &gt;單引號' 轉換為 &#39;雙引號" 轉換為 &quot;與符號& 轉換為 &amp;

1.示例

1）打開booktest/views.py文件，創建視圖html_escape。

def html_escape(request):context={'content':'<h1>hello world</h1>'}return render(request,'booktest/html_escape.html',context)

2）打開booktest/urls.py文件，配置url。

url(r'^html_escape/$', views.html_escape),

3）在templates/booktest/目錄下創建html_escape.html。

<html> <head><title>轉義</title> </head> <body> 自動轉義：{{content}} </body> </html>

4）運行服務器，在瀏覽器中輸入如下網址。

http://127.0.0.1:8000/html_escape/

轉義后標記代碼不會被直接解釋執行，而是被直接呈現，防止客戶端通過嵌入js代碼攻擊網站

.

瀏覽效果如下圖:

2.關閉轉義

要關閉模板上下文字符串的轉義：

可以使用 {{ 模板變量|safe}}

也可以使用：

{% autoescape off %}模板語言代碼 {% endautoescape %}

模板硬編碼中的字符串默認不會經過轉義，如果需要轉義，那需要手動進行轉義。

• 過濾器escape可以實現對變量的html轉義，默認模板就會轉義，一般省略。

{{t1|escape}}

• 過濾器safe：禁用轉義，告訴模板這個變量是安全的，可以解釋執行。

{{data|safe}}

1）修改templates/booktest/html_escape.html代碼如下。

<html> <head><title>轉義</title> </head> <body> 自動轉義：{{content}} <hr> 過濾器safe關閉轉義：{{content|safe}} </body> </html>

刷新瀏覽器后效果如下圖：

• 標簽autoescape：設置一段代碼都禁用轉義，接受on、off參數。

{%autoescape off%} ... {%endautoescape%}

1）修改templates/booktest/html_escape.html代碼如下。

<html> <head><title>轉義</title> </head> <body> 自動轉義：{{content}} <hr> 過濾器safe關閉轉義：{{content|safe}} <hr> 標簽autoescape關閉轉義： {%autoescape off%} {{content}} {%endautoescape%} </body> </html>

刷新瀏覽器后效果如下圖：

3.字符串字面值

• 對于在模板中硬編碼的html字符串，不會轉義。

1）修改templates/booktest/html_escape.html代碼如下：

<html> <head><title>轉義</title> </head> <body> 自動轉義：{{content}} <hr> 過濾器safe關閉轉義：{{content|safe}} <hr> 標簽autoescape關閉轉義： {%autoescape off%} {{content}} {%endautoescape%} <hr> 模板硬編碼不轉義：{{data|default:'<b>hello</b>'}} </body> </html>

2）刷新瀏覽器后效果如下圖：

• 如果希望出現轉義的效果，則需要手動編碼轉義。

1）修改templates/booktest/html_escape.html代碼如下：

<html> <head><title>轉義</title> </head> <body> 自動轉義：{{content}} <hr> 過濾器safe關閉轉義：{{content|safe}} <hr> 標簽autoescape關閉轉義： {%autoescape off%} {{content}} {%endautoescape%} <hr> 模板硬編碼不轉義：{{data|default:'<b>hello</b>'}} <hr> 模板硬編碼手動轉義：{{data|default:"&lt;b&gt;123&lt;/b&gt;"}} </body> </html>

2）刷新瀏覽器后效果如下圖：

三、CSRF

django防止csrf的方式：

• 1) 默認打開csrf中間件。
• 2)表單post提交數據時加上{% csrf_token %}標簽。

1.簡介

• CSRF全拼為Cross Site Request Forgery，譯為跨站請求偽造。
• CSRF指攻擊者盜用了你的身份，以你的名義發送惡意請求。
• CSRF能夠做的事情包括：以你名義發送郵件，發消息，盜取你的賬號，甚至于購買商品，虛擬貨幣轉賬…造成的問題包括：個人隱私泄露以及財產安全。

CSRF示意圖如下：

如果想防止CSRF，首先是重要的信息傳遞都采用POST方式而不是GET方式，接下來就說POST請求的攻擊方式以及在Django中的避免。

2.示例

攻擊過程的操作了解即可，不需要重現。

1）打開booktest/views.py文件，創建視圖login，login_check, post和post_action。

def login(reqeust):return render(reqeust, 'booktest/login.html')def login_check(request):username = request.POST.get('username') #獲取用戶名password = request.POST.get('password') #獲取密碼# 校驗if username == 'smart' and password == '123':request.session['username']=name #記住登錄用戶名request.session['islogin']=True　#判斷用戶是否已登錄return redirect('/post/')else:return redirect('／login/')def post(request):return render(request, 'booktest/post.html')def post_action(request):if request.session['islogin']:username = request.session['username']return HttpResponse('用戶'+username+'發了一篇帖子')else:return HttpResponse('發帖失敗')

2）打開booktest/urls.py文件，配置url。

url(r'^login/$', views.login), url(r'^login_check/$', views.login_check), url(r'^post/$', views.post), url(r'^post_action/$',views.post_action),

3）在templates/booktest/目錄下創建login.html和post.html。

<!DOCTYPE html> <html lang="en"> <head><meta charset="UTF-8"><title>登錄案例</title> </head> <body> <form method="post" action="/login_check/">用戶名：<input type="text" name="username"/><br/>密碼：<input type="password" name="password"/><br/><input type="submit" value="提交"/> </form> </body> </html> <!DOCTYPE html> <html lang="en"> <head><meta charset="UTF-8"><title>發帖頁</title> </head> <body> <form method="post" action="/post_action/">標題:<input type="text" name="title"/><br/>內容:<textarea name="content"></textarea><input type="submit" value="發帖"/> </form> </body> </html>

4）啟動運行服務器，采用IP的方式，因為要演示其它IP的請求。

python manage.py runserver 172.16.179.130:8000

5）回到windows中，在瀏覽器中輸入如下網址，將這個標簽稱為網站A。

http://172.16.179.130:8000/login/

瀏覽效果如下圖：

輸入用戶名和密碼，點擊登錄，效果如下圖：

6）下面使用windows中的IIS服務器模擬另外一個網站，創建post.html，復制templates/booktest/post.html內容，并修改action路徑。

<html> <head><title>發帖頁</title> </head> <body> <form method="post" action="http://172.16.179.130:8000/post_action/">標題:<input type="text" name="title"/><br/>內容:<textarea name="content"></textarea><input type="submit" value="發帖"/> </form> </body> </html>

7）在windows中瀏覽器查看效果如下圖，將這個標簽稱為網站B。

8）Django項目中默認啟用了csrf保護，現在先禁用，打開test4/settings.py文件，注釋掉csrf中間件。

9）點擊游覽器的第一個標簽即網站A，點擊"發帖"按鈕后如下圖：

10）點擊游覽器的第二個標簽即IIS網站B，點擊“發帖”按鈕后如下圖：

對比上面兩張圖，發現無論從網站A還是網站B都可以訪問網站A的post_action視圖，這就是不安全的。

3.防止CSRF

1）Django提供了csrf中間件用于防止CSRF攻擊，只需要在test4/settings.py中啟用csrf中間件即可。

2）回到windows瀏覽器中，分別在網站A、網站B中點擊“提交”按鈕，效果一樣，如下圖：

3）這下麻煩了，因為網站A自己也不能訪問了，接下來templates/booktest/post.html內容，在form表單中使用標簽csrf_token。

<!DOCTYPE html> <html lang="en"> <head><meta charset="UTF-8"><title>發帖頁</title> </head> <body> <form method="post" action="/post_action/">{% csrf_token %}標題:<input type="text" name="title"/><br/>內容:<textarea name="content"></textarea><input type="submit" value="發帖"/> </form> </body> </html>

4）回到windows瀏覽器中，在網站A中點擊“提交”按鈕，效果如下圖：

5）回到windows瀏覽器中，在網站B中點擊“提交”按鈕，效果如下圖：

4.保護原理

• 加入標簽后，可以查看post.html的源代碼，發現多了一個csrfmiddlewaretoken的隱藏域。
  
  在瀏覽器的“開發者工具”中查看cookie信息
  
  說明：服務器交給瀏覽器保存一個名字為csrftoken的cookie信息。當啟用中間件并加入標簽csrf_token后，會向客戶端瀏覽器中寫入一條Cookie信息，這條信息的值與隱藏域input元素的value屬性是一致的，提交到服務器后會先由csrf中間件進行驗證，如果對比失敗則返回403頁面，而不會進行后續的處理。

總結

以上是生活随笔為你收集整理的Django模版(二)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。