既然有了写文章的功能,那当然也必须要有删除文章的功能了。

不安全的方式

有了之前的学习做铺垫,删除文章实现起来就比较简单了。

首先增加一个视图函数:

article/views.py

...

# 删文章
def article_delete(request, id):
    # 根据 id 获取需要删除的文章
    article = ArticlePost.objects.get(id=id)
    # 调用.delete()方法删除文章
    article.delete()
    # 完成删除后返回文章列表
    return redirect("article:article_list")
  • 与查询文章类似,因为需要知道具体应该删除哪一篇文章,因此必须传入文章的id
  • 紧接着调用.delete()函数删除数据库中这篇文章的条目;
  • 删除成功后返回到文章列表。

这里与上一章一样,不对用户的身份进行限制,即任何人都可以删除任意文章。当然这样肯定是不符合常理的,等到我们学习了用户管理的知识后,再回头来修改。

然后写入路由信息:

article/urls.py

...

urlpatterns = [
    ...
    # 删除文章
    path('article-delete/<int:id>/', views.article_delete, name='article_delete'),
]

这里几乎与文章详情的写法一样,没有新的内容。再次注意文章的id是如何传递到视图中的。

最后我们希望能够在文章详情的页面进行删除的操作(当然也可以在专门的管理文章的页面中),因此修改模板detail.html

templates/article/detail.html

...

<!-- 文章详情 -->
<div class="container">
    <div class="row">
        ...
        <div class="col-12 alert alert-success">作者:{{ article.author }}
         · <a href="{% url "article:article_delete" article.id %}">删除文章</a>
        </div>
        ...
    </div>
</div>

...

这里增加了一个调用article_delete视图函数的链接,并且将article.id传递进去。

运行开发服务器,可以发现已经能够正常的删除文章了:

增加弹窗

功能已经实现了,但是还有个小问题没有解决:万一我只是不小心点到了链接,辛辛苦苦写的文章就被删除了,岂不是欲哭无泪了?

很容易想到的一个解决方法,就是点击删除按钮是出现一个弹窗,确认后再进行删除,确保用户不是误操作的。

弹窗是很常用的功能,但是想写出一个美观好用的弹窗却不容易。幸运的是我们不需要重复造轮子,早就有革命先驱做好相关的功能了,这里我们选择使用Layer弹窗组件

layer是一款备受青睐的web弹层组件,具备全方位的解决方案。首先到官网下载Layer插件:Layer

解压后将里面的layer文件夹(含有layer.js的)直接复制到项目的static文件夹下。

为了未来在所有页面都能使用Layer弹窗功能,在base.html中通过标签引入:

templates/base.html

...

<body>
    ...

    <!-- bootstrap.js 依赖 jquery.js 和popper.js,因此在这里引入 -->
    <script src="{% static 'jquery/jquery-3.3.1.js' %}"></script>
    ...
    <!-- 引入layer.js -->
    <script src="{% static 'layer/layer.js' %}"></script>
</body>

...

layer插件依赖jquery才能正常工作,因此要在jquery的后面引入layer。

再次改写模板文件detail.html

templates/article/detail.html

...

<!-- 文章详情 -->
<div class="container">
    <div class="row">
        ...
        <div class="col-12 alert alert-success">作者:{{ article.author }}
         · <a href="#" onclick="confirm_delete()">删除文章</a>
        </div>
        ...
    </div>
</div>

<script>
    // 删除文章的函数
    function confirm_delete() {
        // 调用layer弹窗组件
        layer.open({
            // 弹窗标题
            title: "确认删除",
            // 正文
            content: "确认删除这篇文章吗?",
            // 点击确定按钮后调用的回调函数
            yes: function(index, layero) {
                // 指定应当前往的 url
                location.href='{% url "article:article_delete" article.id %}'
            },
        })
    }
</script>

{% endblock content %}
  • <a>标签中增加了onclick属性,表示在点击链接时调用后面的confirm_delete()函数。
  • confirm_delete()函数中调用了layer弹窗组件,对弹窗的标题正文以及确定键进行了定义。location.href是点击确定键后应该前往的地址,即删除文章的url。(当然Layer组件远不止这些用法,具体可在官方文档中查阅)。
  • 通过onclick实现了功能逻辑,因此href链接就不需要再跳转了。
不要将模板语法和JavaScript语法搞混了。

包裹在 {% .. %} 中的是Django的模板语法。Django在模板语法帮助下将零散的模板文件拼接成完整的html文件,再传递到用户的浏览器中进行解析。模板语法适合执行一些简单的逻辑。

包裹在script标签中的是JavaScript语法,它是与Python不同的、能够在浏览器中运行的前端语言。学好JavaScript同样是一个漫长的过程,好在本教程中只会涉及一点基本的JavaScript代码。

保存所有文件后刷新页面,很好,达到了理想的效果:

安全的方式

可能你认为删除文章功能实现起来没什么难度,但是请注意,上面的方法是有隐患的。要继续深入探讨,就得提到跨域请求伪造攻击,也称为CSRF攻击了(Cross-site request forgery)。

CSRF攻击

CSRF攻击你可以理解为:攻击者盗用了你的身份,以你的名义发送恶意请求。还是拿删除文章举例:

  • 用户登录了博客网站A,浏览器记录下这次会话,并保持了登录状态;
  • 用户在没有退出登录的情况下,又非常不小心的打开了邪恶的攻击网站B
  • 攻击网站B在页面中植入恶意代码,悄无声息的向博客网站A发送删除文章的请求,此时浏览器误以为是用户在操作,从而顺利的执行了删除操作。

由于浏览器的同源策略,CSRF攻击者并不能得到你的登录数据实际内容,但是可以欺骗浏览器,让恶意请求附上正确的登录数据。不要小看CSRF攻击的威力:倘若是你的银行账户具有此类安全漏洞,黑客就可以神不知鬼不觉转走你的所有存款。

所以这里如何防范CSRF攻击的风险呢?方法是有的,即删除文章时用POST方法,并且校验csrf令牌。

CSRF令牌

前面我们讲到在 Django 中提交表单必须加csrf_token,这个就是CSRF令牌了,它防范CSRF攻击的流程如下:

  • 当用户访问 django 站点时,django 反馈给用户的表单中有一个隐含字段 csrf_token,这个值是在服务器端随机生成的,每次都不一样;
  • 在后端处理 POST 请求前,django 会校验请求的 cookie 里的 csrf_token 和表单里的 csrf_token 是否一致。一致则请求合法,否则这个请求可能是来自于 CSRF攻击,返回 403 服务器禁止访问。

由于攻击者并不能得到用户的 cookie 内容(仅仅是靠浏览器转发),所以通常情况下是无法构造出正确的 csrf_token 的,从而防范了此类攻击。原理就是这样,下面来看看如何实现安全的删除功能。

代码实现

首先修改删除文章的链接,以及点击它时调用的函数:

templates/article/detail.html

...
<!-- · <a href="#" onclick="confirm_delete()">删除文章</a> -->
· <a href="#" onclick="confirm_safe_delete()">删除文章</a>
<!-- 新增一个隐藏的表单 -->
<form 
      style="display:none;" 
      id="safe_delete"
      action="{% url 'article:article_safe_delete' article.id %}" 
      method="POST"
      >
    {% csrf_token %}
    <button type="submit">发送</button>
</form>

...

<script>
...
function confirm_safe_delete() {
    layer.open({
        title: "确认删除",
        content: "确认删除这篇文章吗?",
        yes: function(index, layero) {
            $('form#safe_delete button').click();
            layer.close(index);
        }
    })
}
</script>

代码流程如下:

  • 点击删除文章链接时,弹出 layer 弹窗
  • 弹窗不再发起 GET 请求,而是通过 Jquery 选择器找到隐藏的表单,并点击发送按钮
  • 表单发起 POST 请求,并携带了 csrf 令牌,从而避免了 csrf 攻击

接着添加表单提交的url:

article/urls.py

...
urlpatterns = [
    ...
    # 安全删除文章
    path(
        'article-safe-delete/<int:id>/',
        views.article_safe_delete,
        name='article_safe_delete'
    ),
]

最后就是将新的删除视图写好:

article/views.py

...
# 安全删除文章
def article_safe_delete(request, id):
    if request.method == 'POST':
        article = ArticlePost.objects.get(id=id)
        article.delete()
        return redirect("article:article_list")
    else:
        return HttpResponse("仅允许post请求")

可能你要问了,没发现哪行代码校验了csrf令牌啊?放心,默认配置下所有的 POST 请求都由 Django 中间件帮你验证了。另外视图一定要限制为 POST 请求,即if request.method == 'POST'必须有,就请读者思考一下原因吧。

总结

本章新增了删除博客文章的功能,并且使用了弹窗组件优化了用户体验。

另一个重要的知识点就是CSRF攻击的防范。记住一条,凡是重要的数据操作,都应该考虑带有 csrf 令牌的 POST 请求;或者更简单的方法,数据查询用 GET,数据更改用 POST。

注意这个删除文章的功能并没有对用户身份进行验证。别急,等到讲完用户管理之后再来处理。

下一章将学习如何更新文章,准备好继续作战吧。


杜赛
190 声望68 粉丝

啥都不会的菜鸟一个。