版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/yyy72999/article/details/80324950
django中有中间件middleware
在我们项目settings
中的 MIDDLEWARE
中 下面浅谈各个中间件含义以及自定义用法:
django.middleware.security.SecurityMiddleware’
一些安全设置,比如XSS脚本过滤。
django.contrib.sessions.middleware.SessionMiddleware
session支持中间件,加入这个中间件,会在数据库中生成一个django_session的表。
django.middleware.common.CommonMiddleware
通用中间件,会处理一些URL,比如baidu.com会自动的处理成www.baidu.com。比如/blog/111会处理成/blog/111/自动加上反斜杠。
django.middleware.csrf.CsrfViewMiddleware
跨域请求伪造中间件。加入这个中间件,在提交表单的时候会必须加入csrf_token,cookie中也会生成一个名叫csrftoken的值,也会在header中加入一个HTTP_X_CSRFTOKEN的值来放置CSRF攻击。
django.contrib.auth.middleware.AuthenticationMiddleware
用户授权中间件。他会在每个HttpRequest对象到达view之前添加当前登录用户的user属性,也就是你可以在view中通过request访问user。
django.contrib.messages.middleware.MessageMiddleware
消息中间件。展示一些后台信息给前端页面。如果需要用到消息,还需要在INSTALLED_APPS中添加django.contrib.message才能有效。如果不需要,可以把这两个都删除。
django.middleware.clickjacking.XFrameOptionsMiddleware
防止通过浏览器页面跨Frame出现clickjacking(欺骗点击)攻击出现。
自定义中间件:
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
'api.middlewares.check_request.CheckMaliceClientMiddleWare' ##我们自己定义的中间件
]
在顶级顶级目录managen.py 编写 vim api/middlewares/check_request.py
from django.core.cache import cache
from django.http import HttpResponseForbidden
import redis
class CheckMaliceClientMiddleWare:
def __init__(self,get_response):
self.get_response = get_response
self.poll = redis.ConnectionPool(host='127.0.0.1')
self.redis = redis.Redis(connection_pool=self.poll)
def __call__(self,request):
source_ip = request.META['REMOTE_ADDR']
if self.redis.llen(source_ip) >= 10:
return HttpResponseForbidden('<h1>Forbidden Your Access Many</h1>')
self.redis.expire(source_ip,'60');
self.redis.lpush(source_ip,'1')
response = self.get_response(request)
return response
该中间件目的是 检索一分钟内如果同一个ip请求超过10次或者等于10次我们直接返回403 不让他到views
测试:
[15/May/2018 08:32:02] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:02] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:02] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:02] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:03] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:03] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:03] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:03] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:04] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:04] "GET /api/self/ HTTP/1.1" 200 568
[15/May/2018 08:32:05] "GET /api/self/ HTTP/1.1" 403 35