详解Python的Django框架中的Cookie相关处理


Posted in Python onJuly 22, 2015

浏览器的开发者在很早的时候就已经意识到, HTTP's 的无状态会对Web开发者带来很大的问题,于是(cookies)应运而生。 cookies 是浏览器为 Web 服务器存储的一小段信息。 每次浏览器从某个服务器请求页面时,它向服务器回送之前收到的cookies

来看看它是怎么工作的。 当你打开浏览器并访问 google.com ,你的浏览器会给Google发送一个HTTP请求,起始部分就象这样:

GET / HTTP/1.1
Host: google.com
...

当 Google响应时,HTTP的响应是这样的:

HTTP/1.1 200 OK
Content-Type: text/html
Set-Cookie: PREF=ID=5b14f22bdaf1e81c:TM=1167000671:LM=1167000671;
      expires=Sun, 17-Jan-2038 19:14:07 GMT;
      path=/; domain=.google.com
Server: GWS/2.1
...

注意 Set-Cookie 的头部。 你的浏览器会存储cookie值( PREF=ID=5b14f22bdaf1e81c:TM=1167000671:LM=1167000671 ) ,而且每次访问google 站点都会回送这个cookie值。 因此当你下次访问Google时,你的浏览器会发送像这样的请求:

GET / HTTP/1.1
Host: google.com
Cookie: PREF=ID=5b14f22bdaf1e81c:TM=1167000671:LM=1167000671
...

于是 Cookies 的值会告诉Google,你就是早些时候访问过Google网站的人。 这个值可能是数据库中存储用户信息的key,可以用它在页面上显示你的用户名。 Google会(以及目前)使用它在网页上显示你账号的用户名。
存取Cookies

在Django中处理持久化,大部分时候你会更愿意用高层些的session 和/或 后面要讨论的user 框架。 但在此之前,我们需要停下来在底层看看如何读写cookies。 这会帮助你理解本章节后面要讨论的工具是如何工作的,而且如果你需要自己操作cookies,这也会有所帮助。

读取已经设置好的cookies极其简单。 每一个`` HttpRequest`` 对象都有一个`` COOKIES`` 对象,该对象的行为类似一个字典,你可以使用它读取任何浏览器发送给视图(view)的cookies。

def show_color(request):
  if "favorite_color" in request.COOKIES:
    return HttpResponse("Your favorite color is %s" %       request.COOKIES["favorite_color"])
  else:
    return HttpResponse("You don't have a favorite color.")

写cookies稍微复杂点。 你需要使用 HttpResponse对象的 set_cookie()方法。 这儿有个基于 GET 参数来设置 favorite_color

    cookie的例子:

def set_color(request):
  if "favorite_color" in request.GET:

    # Create an HttpResponse object...
    response = HttpResponse("Your favorite color is now %s" %       request.GET["favorite_color"])

    # ... and set a cookie on the response
    response.set_cookie("favorite_color",
              request.GET["favorite_color"])

    return response

  else:
    return HttpResponse("You didn't give a favorite color.")

你可以给 response.set_cookie() 传递一些可选的参数来控制cookie的行为

好坏参半的Cookies

也许你已经注意到了,cookies的工作方式可能导致的问题。 让我们看一下其中一些比较重要的问题:

    cookie的存储是自愿的,一个客户端不一定要去接受或存储cookie。 事实上,所有的浏览器都让用户自己控制 是否接受cookies。 如果你想知道cookies对于Web应用有多重要,你可以试着打开这个浏览器的 选项:

    尽管cookies广为使用,但仍被认为是不可靠的的。 这意味着,开发者使用cookies之前必须 检查用户是否可以接收cookie。

    Cookie(特别是那些没通过HTTPS传输的)是非常不安全的。 因为HTTP数据是以明文发送的,所以 特别容易受到嗅探攻击。 也就是说,嗅探攻击者可以在网络中拦截并读取cookies,因此你要 绝对避免在cookies中存储敏感信息。 这就意味着您不应该使用cookie来在存储任何敏感信息。

    还有一种被称为”中间人”的攻击更阴险,攻击者拦截一个cookie并将其用于另一个用户。 第19章将深入讨论这种攻击的本质以及如何避免。

    即使从预想中的接收者返回的cookie也是不安全的。 在大多数浏览器中您可以非常容易地修改cookies中的信息。有经验的用户甚至可以通过像mechanize(http://wwwsearch.sourceforge.net/mechanize/) 这样的工具手工构造一个HTTP请求。

    因此不能在cookies中存储可能会被篡改的敏感数据。 在cookies中存储 IsLoggedIn=1 ,以标识用户已经登录。 犯这类错误的站点数量多的令人难以置信; 绕过这些网站的安全系统也是易如反掌。

Python 相关文章推荐
跟老齐学Python之编写类之二方法
Oct 11 Python
Python多线程爬虫简单示例
Mar 04 Python
python操作列表的函数使用代码详解
Dec 28 Python
python OpenCV学习笔记实现二维直方图
Feb 08 Python
pandas 将list切分后存入DataFrame中的实例
Jul 03 Python
Python 从一个文件中调用另一个文件的类方法
Jan 10 Python
Python实现的序列化和反序列化二叉树算法示例
Mar 02 Python
pandas 中对特征进行硬编码和onehot编码的实现
Dec 20 Python
Python sep参数使用方法详解
Feb 12 Python
Django filter动态过滤与排序实现过程解析
Nov 26 Python
Python列表的深复制和浅复制示例详解
Feb 12 Python
Python音乐爬虫完美绕过反爬
Aug 30 Python
在Django中使用Sitemap的方法讲解
Jul 22 #Python
用Python的Django框架来制作一个RSS阅读器
Jul 22 #Python
利用Python的Django框架生成PDF文件的教程
Jul 22 #Python
在Python的Django框架中生成CSV文件的方法
Jul 22 #Python
在主机商的共享服务器上部署Django站点的方法
Jul 22 #Python
在Lighttpd服务器中运行Django应用的方法
Jul 22 #Python
简单的Apache+FastCGI+Django配置指南
Jul 22 #Python
You might like
在PHP的图形函数中显示汉字
2006/10/09 PHP
php中用date函数获取当前时间有误的解决办法
2013/08/02 PHP
php使用get_class_methods()函数获取分类的方法
2016/07/20 PHP
JavaScript创建命名空间(namespace)的最简实现
2007/12/11 Javascript
PHP abstract与interface之间的区别
2013/11/11 Javascript
js简单实现用户注册信息的校验代码
2013/11/15 Javascript
jquery制作搜狐快站页面效果示例分享
2014/02/21 Javascript
文本域中换行符的替换示例
2014/03/04 Javascript
javascript文本模板用法实例
2015/07/31 Javascript
javascript高级选择器querySelector和querySelectorAll全面解析
2016/04/07 Javascript
详解JavaScript实现设计模式中的适配器模式的方法
2016/05/18 Javascript
通过正则表达式获取url中参数的简单实现
2016/06/07 Javascript
js判断手机系统是android还是ios
2017/03/07 Javascript
vue实现的微信机器人聊天功能案例【附源码下载】
2019/02/18 Javascript
浅析vue插槽和作用域插槽的理解
2019/04/22 Javascript
vue-element-admin 菜单标签失效的解决方式
2019/11/12 Javascript
微信小程序如何实现点击图片放大功能
2020/01/21 Javascript
[02:23]1个至宝=115个英雄特效 最“绿”至宝拉比克“魔导师密钥”登场
2018/12/29 DOTA
python正则表达式抓取成语网站
2013/11/20 Python
用Python实现通过哈希算法检测图片重复的教程
2015/04/02 Python
PHP网页抓取之抓取百度贴吧邮箱数据代码分享
2016/04/13 Python
python实现机器人行走效果
2018/01/29 Python
Python可迭代对象操作示例
2019/05/07 Python
pandas和spark dataframe互相转换实例详解
2020/02/18 Python
python def 定义函数,调用函数方式
2020/06/02 Python
浅谈html5 响应式布局
2014/12/24 HTML / CSS
美国最顶级的精品店之一:Hampden Clothing
2016/12/22 全球购物
美国在线健康和美容市场:Pharmapacks
2018/12/05 全球购物
Brother加拿大官网:打印机、贴标机、缝纫机
2019/10/09 全球购物
一套VC试题
2015/01/23 面试题
网站编辑求职信
2013/10/17 职场文书
社会学专业求职信
2014/07/17 职场文书
南京市纪委监察局整改方案
2014/09/16 职场文书
2014年干部作风建设总结
2014/10/23 职场文书
PyCharm 安装与使用配置教程(windows,mac通用)
2021/05/12 Python
python执行js代码的方法
2021/05/13 Python