Django 安全
以下是关于Django安全的一些特征,它包括如何使基于Django的网站的一些建议。
关于安全的官方文档:https://docs.djangoproject.com/en/dev/#security
官方文档包括以下几个方面:
- Security overview
- Disclosed security issues in Django
- Clickjacking protection
- Cross Site Request Forgery protection
- Cryptographic signing
- Security Middleware
Django表单用在模版中的时候我们会加一句{% csrf_token %}
Django 国际化
Django官方教程:https://docs.djangoproject.com/en/1.7/#internationalization-and-localization
Django支持国际化,多语言。Django的国际化是默认开启的,如果您不需要国际化支持,那么您可以在您的设置文件中设置USE_I18N = False,那么Django会进行一些优化,不加载国际化支持机制。
NOTE: 18表示Internationlization这个单词首字母I和结尾字母N之间的字母有18个。I18N就是Internationlization的意思。
Django完全支持文本翻译,日期时间数字格式和时区。
本质上讲,Django做了两件事:
1、它允许开发者指定要翻译的字符串
2、Django根据特定的访问者的偏好设置,进行调用相应的翻译文本。
开启国际化的支持,需要在settings.py文本中设置
MIDDLEWARE_CLASSES = (
...
'django.middleware.locale.LocaleMiddleware',
) LANGUAGE_CODE = 'en'
TIME_ZONE = 'UTC'
USE_I18N = True
USE_L10N = True
USE_TZ = True LANGUAGES = (
('en', ('English')),
('zh-cn', ('中文简体')),
('zh-tw', ('中文繁體')),
) #翻译文件所在目录,需要手工创建
LOCALE_PATHS = (
os.path.join(BASE_DIR, 'locale'),
) TEMPLATE_CONTEXT_PROCESSORS = (
...
"django.core.context_processors.i18n",
)
生成需翻译的文本
django-admin.py makemessages -l zh-cn
django-admin.py makemessages -l zh-tw
手工翻译locale中的文本后,我们需要编译以下,这样翻译才会生效
django-admin.py compilemessages
Django session
Django 完全支持也匿名会话,简单说就是使用跨网页之间可以进行通讯,比如显示用户名,用户是否已经发表评论,session框架让你存储盒获取访问者的数据信息,这些信息保存在服务器上(默认是数据库中),以cookies的方式发送和获取一个包含session ID的值,并不是用cookies传递数据本身。
启用session
编辑settings.py中的一些配置
MIDDLEWARE_CLASSES确保其中包含以下内容
'django.contrib.sessions.middleware.SessionMiddleware',
INSTALLED_APPS是包含
'django.contrib.sessions',
这些是默认启用的。如果你不用等话,也可以关掉这个以节省一点服务器的开销。
在视图中使用session
request.session可以在视图中任何地方使用,它类似于python中的字典
session默认有效时间为两周,可以在settings.py中修改默认值:参加这里
# 创建或修改 session:
request.session[key] = value
# 获取 session:
request.session.get(key,default=None)
# 删除 session
del request.session[key] # 不存在时报错
session例子
比如写一个不让用户评论两次的应用:
from django.http import HttpResponse def post_comment(request, new_comment):
if request.session.get('has_commented', False):
return HttpResponse("You've already commented.")
c = comments.Comment(comment=new_comment)
c.save()
request.session['has_commented'] = True
return HttpResponse('Thanks for your comment!')
一个简化的登陆认证:
def login(request):
m = Member.objects.get(username=request.POST['username'])
if m.password == request.POST['password']:
request.session['member_id'] = m.id
return HttpResponse("You're logged in.")
else:
return HttpResponse("Your username and password didn't match.") def logout(request):
try:
del request.session['member_id']
except KeyError:
pass
return HttpResponse("You're logged out.")
当登陆时验证用户名和密码,并保存用户id在session中,这样就可以在视图中使用request.session['member_id']来检查用户是否登陆,当退出的时候,删除掉它。