web框架面试题

1、Django 的生命周期？

• 前端发起请求
• nginx
• uwsgi
• 中间件
• URL
• view视图
• 通过orm与model层进行数据交互
• 拿到数据返回给view
• 试图将数据渲染到模板中拿到字符串
• 中间件
• uwsgi
• nginx
• 前端渲染

2、中间件的五种方法？

• process_request
• process_response
• Process_view
• Process_exception
• Process_render_template

3、django 自带的中间件？

• SecurityMiddleware
• SessionMiddleware
• CommmonMiddleware
• CsrfViewMiddleware
• AuthenticationMiddleware
• MessageMiddleware
• XFrameOptionMiddleware

4、csrf 攻击、危害与防御

csrf 攻击全称为Cross-site request forgery 中文名称 跨站请求伪造 也被称为“One Click Attack”或者“Session Riding”，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。
XSS主要是利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求，来利用受信任的网站。与XSS相比，CSRF更具危险性。

主要的危害来自于攻击者盗用用户身份，发送恶意请求。比如：模拟用户发送邮件，发消息，以及支付、转账等。

如何防御CSRF攻击?

• 1、重要数据交互采用POST进行接收，当然POST也不是万能的，伪造一个form表单即可破解。
• 2、使用验证码，只要是涉及到数据交互就先进行验证码验证，这个方法可以完全解决CSRF。
• 3、出于用户体验考虑，网站不能给所有的操作都加上验证码，因此验证码只能作为一种辅助手段，不能作为主要解决方案。
• 4、验证HTTP Referer字段，该字段记录了此次HTTP请求的来源地址，最常见的应用是图片防盗链。
• 5、为每个表单添加令牌token并验证。