Django 安全动态删除功能实现教程-Python教程-PHP中文网

django 安全动态删除功能实现教程

本教程详细介绍了如何在 Django 应用中实现一个安全、精确的动态删除功能。针对用户遇到的删除按钮总是删除第一篇文章而非指定文章的问题，我们将通过优化后端视图函数和前端模板，确保删除操作能够正确地关联到用户点击的特定文章，并提供严格的权限验证，避免误删并提升用户体验。

1. 问题分析与解决方案概述

在 Django Web 应用中，实现文章或任何资源的安全删除功能是一个常见需求。用户常遇到的问题是，当页面上展示多篇文章并为每篇文章提供一个删除按钮时，点击删除按钮后，弹出的确认对话框可能显示错误的标题，或者实际删除的不是用户期望的那篇文章，而是列表中的第一篇或最后一篇。

这通常是由于以下两个主要原因造成的：

前端模板渲染问题：如果删除确认对话框（Modal）被定义为页面上的一个静态元素，并且其内容（如文章标题和删除链接）在页面加载时就已绑定到某个特定的文章对象（例如，列表中的第一个或最后一个），那么无论用户点击哪个删除按钮，都将操作同一个静态 Modal，从而导致错误的文章信息显示和错误的删除行为。
后端视图权限不足：即使前端能够正确传递文章 ID，如果后端视图没有进行严格的权限验证（例如，只有文章作者才能删除自己的文章），也可能导致安全漏洞或误操作。

本教程将通过以下步骤解决这些问题：

优化 Django 后端视图函数，确保删除操作的精确性和安全性。
改进前端模板，利用 JavaScript 动态更新删除确认 Modal 的内容，使其与用户点击的特定文章关联。

2. 后端视图函数优化

Django 的 views.py 中的删除逻辑需要确保两点：一是能够精确找到要删除的文章；二是验证当前用户是否有权限删除该文章。

原始视图函数

@login_required()
def delete(request, id):
     poost = get_object_or_404(post, pk=id) # 注意这里的 'post' 应该是模型类名，通常首字母大写
     if request.user == poost.author:
          poost.delete()
          messages.error(request, f'Post deleted!')
          return redirect("/")

登录后复制

问题与改进

模型类名：get_object_or_404(post, pk=id) 中的 post 应该是指向您的文章模型类，通常模型类名首字母大写，例如 Post。
权限验证：if request.user == poost.author: 这一行已经提供了基本的权限验证，这是非常好的实践。我们可以将其与 get_object_or_404 结合，使代码更简洁且更安全。

优化后的视图函数

from django.shortcuts import get_object_or_404, redirect
from django.contrib.auth.decorators import login_required
from django.contrib import messages
# 假设您的文章模型名为 Post
from .models import Post # 根据您的实际模型路径调整

@login_required
def delete(request, id):
    """
    删除指定ID的文章。
    只有文章作者本人才能删除自己的文章。
    """
    try:
        # 尝试获取指定ID且作者为当前用户的文章
        # 如果文章不存在或当前用户不是作者，则返回404错误
        article = get_object_or_404(Post, pk=id, author=request.user)
        article.delete()
        messages.success(request, f'文章 "{article.title}" 已成功删除！') # 使用 success 消息更合适
        return redirect("/")
    except Exception as e:
        messages.error(request, f'删除文章失败：{e}')
        return redirect("/")

登录后复制

代码解释：

get_object_or_404(Post, pk=id, author=request.user)：这一行是关键改进。它不仅通过 pk=id 查找指定 ID 的文章，还同时通过 author=request.user 验证当前登录用户是否是该文章的作者。如果文章不存在，或者存在但当前用户不是其作者，get_object_or_404 将直接抛出 Http404 异常，从而阻止未授权的删除操作，并减少了后续的 if 判断。
messages.success：删除成功后使用 success 消息类型比 error 更符合语义。
try-except 块：虽然 get_object_or_404 会处理找不到对象的情况，但为了更健壮的错误处理和用户反馈，可以包裹在一个 try-except 块中，捕获其他潜在异常。

3. 前端模板改进：动态更新删除 Modal

原始模板中，删除 Modal 的内容 {{ post.title }} 和删除链接 {% url 'delete' post.id %} 是在页面加载时静态渲染的。如果 post.html 是一个用于展示多篇文章的列表模板，并且 Modal 定义在循环之外，那么 Modal 将只会获取到循环中最后一个 post 对象的数据。为了解决这个问题，我们需要使用 JavaScript 在 Modal 显示之前，动态地将正确文章的数据注入到 Modal 中。

3.1 修改删除按钮

易方销售系统EfangIsale

1 先进的多级用户及代理商管理功能 2 透明的会员资金管理，系统自动完成会员资金的管理业务。 3 规范的业务流程，客户提交订单--业务人员受理订单--技术人员开通业务，简单，规范，使用的企业管理更加规范化。 4 便捷安装接入，只要把你的前台链接到我们指定的入口，其它的业务管理全部由系统自动完成。 5 领先的产品及菜单管理功能。可对产品和会员的菜单进行动态的增加、修改、删除，从而使用轻松方便的增加新

查看详情

在每个文章的删除按钮上，添加 data-* 属性来存储该文章的 ID 和标题。

{% if user.is_authenticated and user == post.author %}
    <a href="{% url 'update' post.id %}" class="btn btn-primary btn-small">Edit</a>
    <!-- 修改后的删除按钮，添加 data-post-id 和 data-post-title 属性 -->
    <a href="#" class="btn btn-danger btn-small delete-post-btn"
       data-toggle="modal"
       data-target="#deleteConfirmationModal"
       data-post-id="{{ post.id }}"
       data-post-title="{{ post.title }}">
       Delete <svg xmlns="http://www.w3.org/2000/svg" width="16" height="16" fill="currentColor" class="bi bi-trash" viewBox="0 0 16 16">
         <path d="M5.5 5.5A.5.5 0 0 1 6 6v6a.5.5 0 0 1-1 0V6a.5.5 0 0 1 .5-.5Zm2.5 0a.5.5 0 0 1 .5.5v6a.5.5 0 0 1-1 0V6a.5.5 0 0 1 .5-.5Zm3 .5a.5.5 0 0 0-1 0v6a.5.5 0 0 0 1 0V6Z"/>
         <path d="M14.5 3a1 1 0 0 1-1 1H13v9a2 2 0 0 1-2 2H5a2 2 0 0 1-2-2V4h-.5a1 1 0 0 1-1-1V2a1 1 0 0 1 1-1H6a1 1 0 0 1 1-1h2a1 1 0 0 1 1 1h3.5a1 1 0 0 1 1 1v1ZM4.118 4 4 4.059V13a1 1 0 0 0 1 1h6a1 1 0 0 0 1-1V4.059L11.882 4H4.118ZM2.5 3h11V2h-11v1Z"/>
       </svg>
    </a>
{% endif %}

登录后复制

delete-post-btn：一个自定义类，用于 JavaScript 选中所有删除按钮。
data-post-id="{{ post.id }}"：存储当前文章的 ID。
data-post-title="{{ post.title }}"：存储当前文章的标题。
data-target="#deleteConfirmationModal"：将 Modal 的 ID 从 exampleModal 修改为 deleteConfirmationModal，以避免与可能存在的其他 Modal 冲突，并提高语义化。

3.2 修改删除确认 Modal

将 Modal 的定义放在页面的任意位置，但确保它只被定义一次（通常在页面的底部或父模板中）。删除 Modal 中的静态 {{ post.title }} 和 {% url 'delete' post.id %}，替换为用于动态更新的占位符。

<!-- 删除确认 Modal，确保只定义一次 -->
<div class="modal fade" id="deleteConfirmationModal" tabindex="-1" role="dialog" aria-labelledby="deleteConfirmationModalLabel" aria-hidden="true">
  <div class="modal-dialog" role="document">
    <div class="modal-content">
      <div class="modal-header">
        <h5 class="modal-title" id="deleteConfirmationModalLabel">确认删除文章</h5>
        <button type="button" class="close" data-dismiss="modal" aria-label="Close">
          <span aria-hidden="true">&times;</span>
        </button>
      </div>
      <div class="modal-body">
        <p class="text-muted">您确定要删除文章 "<strong id="modalPostTitle"></strong>" 吗？此操作无法撤销。</p>
      </div>
      <div class="modal-footer">
        <button type="button" class="btn btn-secondary" data-dismiss="modal">取消</button>
        <!-- 删除按钮的 href 将通过 JavaScript 动态设置 -->
        <a id="confirmDeleteLink" href="#" class="btn btn-danger">删除</a>
      </div>
    </div>
  </div>
</div>

登录后复制

id="modalPostTitle"：一个 <strong> 标签，用于显示动态的文章标题。
id="confirmDeleteLink"：删除按钮的 <a> 标签，其 href 属性将通过 JavaScript 动态更新。

3.3 添加 JavaScript 逻辑

使用 jQuery（因为模板中使用了 data-toggle="modal" 和 data-dismiss="modal"，这通常是 Bootstrap 的行为，而 Bootstrap 依赖 jQuery）来监听 Modal 的 show.bs.modal 事件，并在 Modal 显示前更新其内容。

将以下 JavaScript 代码添加到您的模板文件（例如 post.html 的 <script> 标签内，或一个单独的 JS 文件中并在模板中引用）。

<script src="https://code.jquery.com/jquery-3.5.1.slim.min.js"></script>
<script src="https://cdn.jsdelivr.net/npm/bootstrap@4.5.2/dist/js/bootstrap.bundle.min.js"></script>
<script>
$(document).ready(function() {
    $('#deleteConfirmationModal').on('show.bs.modal', function (event) {
        var button = $(event.relatedTarget); // 获取触发 Modal 的按钮
        var postId = button.data('post-id'); // 从按钮的 data-post-id 属性中获取文章 ID
        var postTitle = button.data('post-title'); // 从按钮的 data-post-title 属性中获取文章标题

        var modal = $(this);
        // 更新 Modal 中的文章标题显示
        modal.find('#modalPostTitle').text(postTitle);
        // 更新 Modal 中删除链接的 href 属性
        // 假设您的删除 URL 模式是 /delete/<int:id>
        modal.find('#confirmDeleteLink').attr('href', '/delete/' + postId);
    });
});
</script>

登录后复制

代码解释：

$('#deleteConfirmationModal').on('show.bs.modal', function (event) { ... });：这是一个 Bootstrap Modal 事件监听器。当 deleteConfirmationModal 即将显示时，内部的回调函数会被执行。
var button = $(event.relatedTarget);：event.relatedTarget 是触发 Modal 显示的 DOM 元素（即用户点击的删除按钮）。
button.data('post-id') 和 button.data('post-title')：通过 jQuery 的 data() 方法，可以方便地读取 HTML 元素上 data-* 属性的值。
modal.find('#modalPostTitle').text(postTitle);：找到 Modal 中 ID 为 modalPostTitle 的元素，并将其文本内容设置为从按钮获取的文章标题。
modal.find('#confirmDeleteLink').attr('href', '/delete/' + postId);：找到 Modal 中 ID 为 confirmDeleteLink 的链接，并将其 href 属性设置为正确的删除 URL。请确保 /delete/ 与您的 urls.py 中定义的删除路径一致。

4. URL 配置 (urls.py)

您的 urls.py 配置已经能够正确捕获文章 ID，因此无需修改。

from django.urls import path
from . import views
# from .views import PostUpdateView # 如果PostUpdateView不是类视图，可能不需要这样导入

urlpatterns = [
    # ... 其他URL模式
    path('delete/<int:id>', views.delete, name='delete'), # 确保这里的 'delete' 对应您的视图函数名
    # ... 其他URL模式
]

登录后复制

这里的 path('delete/<int:id>', views.delete, name='delete') 定义了一个 URL 模式，它会捕获一个整数类型的 id 并将其作为参数传递给 views.delete 函数。前端 JavaScript 中 '/delete/' + postId 的构造与此模式完美匹配。

5. 注意事项与最佳实践

CSRF 保护：对于删除操作，最佳实践是使用 POST 请求，并包含 CSRF 令牌。虽然本教程的解决方案使用了 GET 请求（通过 <a> 标签），但在生产环境中，强烈建议将删除操作设计为 POST 请求。这可以通过在 Modal 中使用一个包含 CSRF 令牌的 <form> 标签来实现，表单提交到删除 URL。
```

<form id="deleteForm" method="post" action="">
    {% csrf_token %}
    <button type="submit" class="btn btn-danger">删除</button>
</form>
<script>
// 在 JS 中更新表单的 action 属性
modal.find('#deleteForm').attr('action', '/delete/' + postId);
</script>
```
登录后复制
对应的 views.py 需要检查 request.method == 'POST'。
用户反馈：使用 Django 的 messages 框架为用户提供清晰的操作反馈（成功、失败）。
前端样式：确保 Modal 的样式与您的网站主题一致，提供良好的用户体验。
错误日志：在后端视图中加入适当的错误日志记录，

以上就是Django 安全动态删除功能实现教程的详细内容，更多请关注php中文网其它相关文章！