本文目录一览:
- 1、如何正确使用 Django Forms
- 2、django 用视图函数获取html form中的用户输入值
- 3、如何杜绝xss,csrf的攻击
- 4、如何在django中实现文本输入框+下拉选择框的叠加形式
- 5、各位是怎么解决django的防csrf
- 6、Django中将一个文本框中的数据通过点击按钮保存到数据库
如何正确使用 Django Forms
orms的强大之处
有些django项目并不直接呈现HTML, 二是以API框架的形式存在, 但你可能没有想到, 在这些API形式的django项目中也用到了django forms. django forms不仅仅是用来呈现HTML的, 他们最强的地方应该是他们的验证能力. 下面我们就介绍几种和Django forms结合使用的模式:
2. 模式一: ModelForm和默认验证
最简单的使用模式便是ModelForm和model中定义的默认验证方式的组合:
# myapp/views.py
from django.views.generic import CreateView, UpdateView
from braces.views import LoginRequiredMixin
from .models import Article
class ArticleCreateView(LoginRequiredMixin, CreateView):
model = Article
fields = ('title', 'slug', 'review_num')
class ArticleUpdateView(LoginRequiredMixin, UpdateView):
model = Article
fields = ('title', 'slug', 'review_num')
正如以上代码中看到的一样:
ArticleCreateView和ArticleUpdateView中设置model为Article
两个view都基于Article model自动生成了ModelForm
这些ModelForm的验证, 是基于Article model中定义的field转换而来的
3. 模式二, 在ModelForm中修改验证
django 用视图函数获取html form中的用户输入值
from django.views.decorators.csrf import csrf_exempt
在你的函数前面加上csrf_exempt装饰器
例如:
@csrf_exempt
def get_A(request):
另外,在模板里,在form标签里加上{% csrf_token %}
例如:
form action=... method="post"...
{% csrf_token %}
input type=“text" name="a" test/input
如何杜绝xss,csrf的攻击
django post出现403的解决办法 据说,从django1.x开始,加入了CSRF保护。 CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站...
如何在django中实现文本输入框+下拉选择框的叠加形式
首先,在django 视图函数中,传递 obj_list = [1, 2, 3] 类似这样的一个列表。def show_data(request): obj_list = [1, 2, 3] pass return render_to_response('index.html', {'obj_list': obj_list}) 然后在 index.html 模板文件中
各位是怎么解决django的防csrf
django post出现403的解决办法 据说,从django1.x开始,加入了CSRF保护。
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。-------来自百度百科
报错:Forbidden (403)
CSRF verification failed. Request aborted.Help
Reason given for failure:CSRF token missing or incorrect.
In general, this can occur when there is a genuine Cross Site Request Forgery, or when Django's CSRF mechanism has not been used correctly. For POST forms, you need to ensure:
Your browser is accepting cookies.
The view function uses RequestContext for the template, instead of Context.
In the template, there is a {% csrf_token %} template tag inside each POST form that targets an internal URL.
If you are not using CsrfViewMiddleware, then you must use csrf_protect on any views that use the csrf_token template tag, as well as those that accept the POST data.
You're seeing the help section of this page because you have DEBUG = True in your Django settings file. Change that to False, and only the initial error message will be displayed.
You can customize this page using the CSRF_FAILURE_VIEW setting.
在网上找解决办法,说是提交参数中要有csrf_token,才能成功。但网上都是1.3或者1.4版本的解决办法,在1.5版本中测试已经不能用了。
在1.5.1版本,我测试可行的解决办法有三种:
一:
关闭csrf保护功能。为视图函数添加@csrf_exempt修饰符。
from django.views.decorators.csrf import csrf_exempt@csrf_exemptdef view(request): #your code..... 当然这样不安全。
二: 在模版文件中,每个form提交域中都加上{% csrf_token %}标签,并使用render函数返回视图,或者强行使用RequestContext 代替Context。例: from django.shortcuts import renderdef contact(request): form = ContactForm()#这里我使用了一个django的表格 return render(request,'contact.html', {'form': form})
或者:
from django.shortcuts import render_to_responsedef contact(request): form = ContactForm()#这里我使用了一个django的表格 return render_to_response('contact.html', {'form': form}, context_instance=RequestContext(request) )
contact.html的内容:
htmlheadstyle type="text/css" ul.errorlist { margin: 0; padding: 0; } .errorlist li { background-color: red; color: white; display: block; font-size: 10px; margin: 0 0 3px; padding: 4px 5px; }/style titlesend/title/headbody h1Contact us/h1 form action="" method="post" {% csrf_token %} div class="9f37-63d2-229a-6575 field" {{ form.subject.errors }} label for="id_subject"工作:/label {{ form.subject }} /div div class="63d2-229a-6575-7b1f field" {{ form.email.errors }} label for="id_email"你的邮箱地址:/label {{ form.email }} /div div class="229a-6575-7b1f-7d67 field" {{ form.message.errors }} label for="id_message"消息:/label {{ form.message }} /div input type="submit" value="Submit" /form/body/html
三:
方法二显然只能限制在django模版中使用,那如果我们使用javascript或者AJAX的时候呢?怎么添加csrf_token呢?
我们可以使用javascript来提取cookies中的csrf_token。
function getCookie(name) { var cookieValue = null; if (document.cookie document.cookie != '') { var cookies = document.cookie.split(';'); for (var i = 0; i cookies.length; i++) { var cookie = jQuery.trim(cookies[i]); if (cookie.substring(0, name.length + 1) == (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; }
或者这个好理解的:
function getCookie(sName){ var aCookie=document.cookie.split("; "); for(var i=0;iaCookie.length;i++){ var aCrumb=aCookie[i].split("="); if(sName==aCrumb[0])return (aCrumb[1]); } return null;}
AJAX中这样用: $.post(url, {"csrfmiddlewaretoken":getCookie('csrftoken')}, function (data) {alert(data);});
但是有一个问题,当有一个新用户访问这个页面的时候,cookie里并没有csrftoken这个值。只有进行第二种方法,才能在cookie里生成csrftoken值。解决此问题的方法随后更新。
完全可以满足简单的建站需要。
Django中将一个文本框中的数据通过点击按钮保存到数据库
可以在template中写一个form提交形式为post,在view中通过request.Post()读取相应的数据,再通过update或者是create(这个查一下对应数据库操作),按照这个顺序就可以了。
或者是使用Python写一个form表单,在template中使用{{forms.a_p}}等格式的输出,在view中对应更新数据,也可以。