开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

有可能在django密码重置中添加更多字段吗？

在Django密码重置中，可以添加更多字段。Django提供了内置的密码重置功能，但默认只包含了邮箱和密码两个字段。如果你希望在密码重置过程中收集更多的用户信息，可以通过自定义视图和模板来实现。

首先，你可以创建一个继承自Django内置密码重置视图的自定义视图。在这个自定义视图中，你可以使用Django的表单类来添加更多的字段，比如用户名、手机号码等。通过重写form_class属性，你可以指定使用自定义表单类。

from django.contrib.auth.views import PasswordResetView
from .forms import CustomPasswordResetForm

class CustomPasswordResetView(PasswordResetView):
    form_class = CustomPasswordResetForm

接下来，你需要创建一个自定义的表单类，用于添加额外的字段。在这个表单类中，你可以定义你需要的字段，并通过extra_context参数传递到密码重置模板中。

from django import forms

class CustomPasswordResetForm(forms.PasswordResetForm):
    username = forms.CharField()
    phone_number = forms.CharField()

    def get_users(self, email):
        users = super().get_users(email)
        # 这里可以根据用户名和手机号码进行用户筛选
        username = self.cleaned_data.get('username')
        phone_number = self.cleaned_data.get('phone_number')
        if username:
            users = users.filter(username=username)
        if phone_number:
            users = users.filter(profile__phone_number=phone_number)
        return users

    def save(self, **kwargs):
        # 这里可以保存额外的字段到用户模型中
        user = super().save(**kwargs)
        user.profile.phone_number = self.cleaned_data.get('phone_number')
        user.profile.save()

最后，你需要创建一个自定义的密码重置模板，用于显示和收集额外的字段。在这个模板中，你可以使用{{ form.username }}和{{ form.phone_number }}等语法来渲染额外的字段。

<form method="post">
    {% csrf_token %}
    {{ form.email.label_tag }}
    {{ form.email }}
    {{ form.username.label_tag }}
    {{ form.username }}
    {{ form.phone_number.label_tag }}
    {{ form.phone_number }}
    <button type="submit">发送密码重置链接</button>
</form>

通过以上的步骤，你可以在Django密码重置中添加更多字段，并根据你的需求来筛选和保存用户信息。这样，你就可以收集更多的信息来验证用户身份，并提供更个性化的密码重置功能。

关于Django的密码重置功能，你可以参考腾讯云的云服务器CVM产品，它提供了完整的基础设施和开发工具来支持Django应用的部署和运维：https://cloud.tencent.com/product/cvm

相关搜索:是否有可能在nifi处理器中添加敏感字段？有可能在pandas方法链/管道中添加一个变量吗？Django Formset:有没有可能在CreateView的post()方法中添加缺少的字段内容？在django表单中获取FK字段的初始值有问题吗？在Django中，超级用户有可能与非超级用户有不同的必填字段吗？在django的登录表单中添加一个新字段以及用户名和密码我可以有一个在对象数组中添加字段的JSON Schema依赖项吗？如何在Django的UserCreationForm中将两个密码字段放在一行，或者如何在UserCreationForm中添加我自己的html？FLUTTER，FIRESTORE :我有一个streambuilder，它从collection..how中的所有文档中返回某个字段，我要添加查询吗？在django中，我可以有两个编辑配置文件表单吗?一个是主要的编辑配置文件表单，另一个仅用于2个字段

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Django-12 通过邮件找回密码

首先修改django_project\django_project\settings.py,添加邮件相关的配置：

01

简化 Django 开发的八个 Python 包 | Linux 中国

这个月的 Python 专栏将介绍一些 Django 包，它们有益于你的工作，以及你的个人或业余项目。-- Jeff Triplett

02

Joern In RealWorld (2) - Jumpserver随机数种子泄露导致账户劫持漏洞（CVE-2023-42820）

Jumpserver是一个开源的django架构的堡垒机系统，由lawliet & zhiniang peng(@edwardzpeng) with Sangfor在上个月报送了这个漏洞

03

漫谈工程师的三观

工程师要有技术观，产品观和数据观。（1）技术观什么是正确的技术观？我觉得首先是对各种技术不排斥，兼容并蓄。初入行的工程师往往会陷入对某种技术的深深的迷恋而不能自拔，以至于一旦有不同的声音出现，就会使出吃奶的智商为自己的真爱辩解。这种单纯和幼稚几乎是每个工程师成长的必经之路，就像情窦初开的少年看上了隔壁班的小芳，就以为世上西子只此一人一样；等到见识到了更大的世界，读了更多的书籍，即便还深爱着小芳，也能欣赏环肥燕瘦了。兼容并蓄意味着博采众家之长，用不同的工具解决不同的问题。其次是对所用技术和所学技术的

用python的Django框架的内置User来做一个用户注册、登录、密码重置的应用

写了几个简单的页面，突然想到这些页面需要注册并登录后的用户才可以观看该怎么实现呢？于是通过查找资料，做了一个简单的注册、登录、密码重置、密码找回的应用。

01

106-Django开发在线交易网站

01

框架篇-Django博客应用-用户系统

进入 django 管理后台时，也有一个登录页面，那是管理员用来登录到管理后台的，而不是普通用户的登录页面。

06

PRMitM：一种可重置账号密码的中间人攻击，双因素认证也无效

在今年的IEEE研讨会上，来自以色列管理学术研究学院的研究人员展示了一种新的攻击方法。这种攻击方法被命名为PRMitM，意为“密码重置中间人攻击(Password Reset MitM Attack)”。黑客可以利用这种攻击手法对受害者的账号进行密码修改。研究人员称，Google极易受到攻击，而Facebook, Yahoo, LinkedIn, Yandex和其他邮箱服务、手机应用（包括Whatsapp、Snapchat、Telegram）也比较容易受到攻击。攻击流程首先攻击者需要搭建一个网站，并且

05

重置密码

当用户不小心忘记了密码时，网站需要提供让用户找回账户密码的功能。在示例项目中，我们将发送一封含有重置用户密码链接的邮件到用户注册时的邮箱，用户点击收到的链接就可以重置他的密码，下面是具体做法。发送邮件设置 Django 内置了非常方便的发送邮件的功能，不过需要在 settings.py 中做一些简单配置。生产环境下通常需要使用真实的邮件发送服务器，配置步骤会比较多一点。不过 Django 为开发环境下发送邮件提供了一些方便的 Backends 来模拟真实邮件的发送，例如直接发送邮件到终端（）。在 sett

09

在密码重置请求包中添加X-Forwarded-Host实现受害者账户完全劫持

今天分享的这篇Writeup为作者通过利用目标网站“忘记密码”功能，在重置密码请求发包中添加X-Forwarded-Host主机信息，欺骗目标网站把重置密码的链接导向到自己的服务器，从而实现对受害者账户的完全劫持。

02

【Django | allauth】重写allauth重置密码方法

allauth中的重置密码的类视图位于allauth.account.views.PasswordResetView，我们需要在views.py中继承这个类并且重写它的post方法。

02

零基础使用Django2.0.1打造在线教育网站（十四）：用户密码找回

努力与运动兼备～~~有任何问题可以加我好友或者关注微信公众号，欢迎交流，我们一起进步！

01

从 0 到 RCE：Cockpit CMS

开源内容管理系统 Cockpit 的源代码中搜索错误。以下是其官方网站上对 Cockpit 的描述：

04

Web Security 之 HTTP Host header attacks

在本节中，我们将讨论错误的配置和有缺陷的业务逻辑如何通过 HTTP Host 头使网站遭受各种攻击。我们将概述识别易受 HTTP Host 头攻击的网站的高级方法，并演示如何利用此方法。最后，我们将提供一些有关如何保护自己网站的一般建议。

02

【补充】任意密码重置姿势

跟第三个有点类似，只判断了接收端和验证码是否一致，未判断接收端是否和用户匹配，因此修改接收端可达到重置目的

02

【笔记】记录Cy牛的任意密码重置姿势

跟第三个有点类似，只判断了接收端和验证码是否一致，未判断接收端是否和用户匹配，因此修改接收端可达到重置目的

02

任意用户密码重置

0x01 等保测评项GBT 22239-2019《信息安全技术网络安全等级保护基本要求》中，8.1.4.2安全计算环境—访问控制项中要求包括：a）应对登录的用户分配账户和权限；b）应重命名或删除默认账户，修改默认账户的默认口令；c）应及时删除或停用多余的、过期的账户，避免共享账户的存在；d）应授予管理用户所需的最小权限，实现管理用户的权限分离；e）应由授权

02

学习版pytest内核测试平台开发万字长文入门篇

2021年，测试平台如雨后春笋般冒了出来，我就是其中一员，写了一款pytest内核测试平台，在公司落地。分享出来后，有同学觉得挺不错，希望能开源，本着“公司代码不要传到网上去，以免引起不必要麻烦”的原则，只能在家从头写一个，边重新梳理代码边温习巩固知识点，以学习交流为目的，定义为“学习版”。

03

django如何两步实现邮箱重置密码

django内置了密码重置功能，其实我们只需要在urls.py文件里修改一行然后添加一行即可,修改后效果如下

04

通过密码重置功能构造HTTP Leak实现任意账户劫持

本文分享的是，作者在参与某次漏洞邀请测试项目中，发现目标应用服务的密码重置请求存在HTML注入漏洞（HTML injection），通过进一步的HTTP Leak攻击构造，获取到账户的密码重置Token，以此间接实现任意账户劫持。（出于保密原则，文中涉及到的目标应用服务用app.com代替）。密码重置请求中的HTML注入在针对目标应用服务的密码重置功能测试过

02

HTTP Leak实现任意账户劫持的漏洞解析

本文分享的是，作者在参与某次漏洞邀请测试项目中，发现目标应用服务的密码重置请求存在HTML注入漏洞（HTML injection），通过进一步的HTTP Leak攻击构造，获取到账户的密码重置Token，以此间接实现任意账户劫持。（出于保密原则，文中涉及到的目标应用服务用app.com代替）。

02

挖洞经验 | 利用密码重置功能实现账号劫持

最近，我参加了某平台邀请的漏洞测试项目，在其中发现了一个独特的账号劫持漏洞，整个漏洞发现过程非常意外也非常幸运，通过密码重置功能就能实现账号劫持，在此我就把它写成 writeup 分享出来。由于测试项目的保密和隐私原则，抱歉截图太少，且下文中涉及的网站域名部分我已作了编辑隐藏，敬请见谅。

02

看我如何发现Facebook的$5000美金漏洞

最近，我在参与一些漏洞众测项目，本文中我就来分享一个我发现的Facebook某服务器漏洞，该漏洞获得Facebook官方$5000美金奖励。

02

Django Admin后台管理：高效开发与实践

title: Django Admin后台管理：高效开发与实践 date: 2024/5/8 14:24:15 updated: 2024/5/8 14:24:15 categories:

01

Django开发网站业务架构教程

在现代web开发中，Django作为一个功能强大且灵活的Python框架，被广泛应用于开发各类网站和web应用。本文将以实际场景为例，讲述在使用Django进行网站开发时如何进行业务架构设计，以帮助开发者更好地理解和应用Django框架。

00

Django用户身份验证完成示例代码

在这篇Django文章中，wom 将讨论Django User 验证，Django附带了一个用户认证系统。它处理用户帐户，组，权限和基于cookie的用户会话。 Django身份验证系统同时处理身份验证和授权。简要地说，身份验证将验证用户是他们声称的身份，而授权则确定允许经过身份验证的用户执行的操作。

02

Django3.0新鲜出炉！全面解读新特性，ASGI真香实锤，不来了解一下？

写这篇文章完全是机缘巧合，想想已经好长时间没有关注过Django了，虽然Django一直霸占着Python Web开发界的王座，但是由于各种原因自从使用Asyncio以来一直使用Aiohttp这个框架。碰巧因为之前写了几天的《2019逆向复习系列》，脑子里充斥着“逆向”，“逆向”，“逆向”。今天想换换思路写点其他的文章，偶然间看到前两天Django 3.0版本推出，简单看了下Django 3.0的新特性，看到Django 3.0正式版本终于支持ASGI了，内心真是一阵澎湃，当时放弃Django去选择其他的异步框架也是因为它不支持异步，现在它终于完全拥抱异步了，我也就可以重拾Django，尝尝鲜啦！

01

WordPress 的发送重置密码链接功能及优化

WordPress 中有一个允许管理员发送重置密码链接的邮件给用户，这个功能对于那些忘记密码的用户非常有用，特别是他们一时半伙又找不到重置密码链接的时候。

02

HOST头注入漏洞

在很多情况下，开发人员都会信任 HTTP 请求包 Header 中的 Host 字段值，并使用它来生成链接、导入脚本，甚至使用其值生产密码重置链接。这种行为非常不当，因为 HTTP HOST 字段值可能会被攻击者控制。如果应用程序没有对 Host 字段值进行处理，攻击者就可以使用 Web 缓存中毒和滥用替代通道（例如密码重置电子邮件）等手段来利用此漏洞。

02

Django实战-信息资讯-重构 USER 模型

与之前的生鲜电商项目相比较，本次的用户应用模型层会更深入复杂，涉及到创建超级用户、创建普通用户和用户权限。

02

110-Django开发社交聊天网站

01

挖洞经验|雅虎小企业服务平台Luminate身份认证漏洞

对内容管理系统的开发来说，一个重要和关键的步骤就是账户的身份认证实现。身份认证功能可以管理用户登录行为和会话，作出有效的登录访问控制。通常，这种认证功能一般由用户名和密码来实现，但在实际应用场景中，某些重要的内容管理系统仍然存在严重的身份认证漏洞。比如我测试的雅虎小企业平台Luminate。 Luminate：前身为图片广告公司，后被雅虎于2014年9月收购，与雅虎小企业服务平台整合，共同推动雅虎广告和小企业客户业务。忘记密码功能在我晚间例行参与的漏洞众测项目中，我决定研究研究Luminate的密码忘记

04

密码重置漏洞相关介绍

密码重置功能是一些常见漏洞的起因。例如用户名枚举漏洞（数据库中用户名不存在和密码错误显示不同的错误信息），敏感信息泄露（把明文密码通过e-mail发送给用户）重置密码消息劫持（攻击会者接收到密码重置信息）这些都是在密码重置功能中比较常见的漏洞。很多开发者都不能真正了解密码重置所能引发的危害，而下文是介绍一些不遵守基本安全准则的开发人员所开发的密码重置功能会带来的危害。例如，一个的密码恢复重置功能会生成一个令牌，并通过电子邮件发送一个包含令牌的重置密码连接给用户。

09

奖金高达3万美元的Instagram账户漏洞

该Writeup是关于Instagram平台的任意账户劫持漏洞，作者通过构造出突破速率限制（Rate Limiting）的方法，可暴力猜解出任意Instagram账户的密码重置确认码，以此实现Instagram账户劫持。最终Facebook和Instagram的安全团队联合修复了该漏洞，并对作者给出了高达$30,000美金的奖励。以下是作者的分享。

02

实战|记一次攻防演练代码审计

某次在公司项目渗透时，客户临时要求从去年的hw靶标中选一个作为现场演示攻击手法，我的天，去年的，人早都修了只能自己慢慢再去挖一下了。

03

Web登录认证类漏洞分析防御总结和安全验证机制设计探讨

做安全测试有一段时间了，发现登录方面的问题特别多，想做个比较全面点的总结，我尽量写的全面点又适合新人，这篇文章可能需要点想象力，因为问题比较多我不可能去海找各种例子举出来，不过好在会上网就遇到过各种登录框，所以大家都比较了解

04

论密码重置漏洞的十种方法

简单记录一下平时漏洞挖掘的时候对于密码重置漏洞的十种方法，有补充的朋友可以回复公众号补充哈。

02

FeiFeiCms 前台逻辑漏洞分析

该函数直接将 post 的数据传入，则跟进ff_update函数至\Lib\Lib\Model\UserModel.class.php文件

03

WordPress曝未经授权的密码重置漏洞（CVE-2017-8295 ）

漏洞提交者：Dawid Golunski 漏洞编号：CVE-2017-8295 发布日期：2017-05-03 修订版本：1.0 漏洞危害：中/高 I. 漏洞 WordPress内核<= 4.7.4存在未经授权的密码重置(0day) II. 背景 WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。截止2017年2月，Alexa排名前1000万的站点中约有27.5%使用该管理系统。据报道有超过6000万站点使用WordPress进行站点管理或者作为博客系统。 III. 介绍

任意用户密码重置（四）：重置凭证未校验

在逻辑漏洞中，任意用户密码重置最为常见，可能出现在新用户注册页面，也可能是用户登录后重置密码的页面，或者用户忘记密码时的密码找回页面，其中，密码找回功能是重灾区。我把日常渗透过程中遇到的案例作了漏洞成因分析，这次，关注因重置凭证未校验导致的任意用户密码重置问题。传送门：任意用户密码重置（一）：重置凭证泄漏任意用户密码重置（二）：重置凭证接收端可篡改任意用户密码重置（三）：用户混淆密码找回需要鉴别用户的合法身份，证明你就是你，通常有两种做法，一是网站将重置验证码发至用户绑定的邮箱或手机号，用户持重置

08

预警 | WordPress存在多个高危漏洞

CVE-2016-10033 PHPMailer命令执行漏，在WordPress 中的利用 CVE-2017-8295 WordPress密码重置漏洞一、漏洞描述 WordPress是一个免费的开源内容管理系统（CMS），基于PHP和MySQL开发。攻击者可以通过漏洞重置管理员密码，或利用CVE-2016-10033 PHPMailer命令执行漏洞攻击WordPress来获得系统权限。 CVE-2016-10033 PHPMailer命令执行漏洞，在WordPress中的利用 PHPMailer是一个基于

06

任意用户密码重置（一）：重置凭证泄漏

在逻辑漏洞中，任意用户密码重置最为常见，可能出现在新用户注册页面，也可能是用户登录后重置密码的页面，或者用户忘记密码时的密码找回页面。其中，密码找回功能是重灾区。我把日常渗透过程中遇到的案例作了漏洞成

06

Django 和 Keystone.js 的详细对比

Django 是一个用于快速开发 Web 应用程序的高级 Python Web 框架。它鼓励快速开发和干净、实用的设计。

00

centos下修改root密码具体方法

centos修改root密码的方法有：1、当用户具有sudo权限时就可以直接修改密码；2、当不具有权限时，可以长按Shift键进入GRUB导图模式里的Ubuntu高级选项，进行配置，本篇文章重点为大家讲解一下第二种方法。

03

关于 Node.js 的认证方面的教程（很可能）是有误的

原文地址：Your Node.js authentication tutorial is (probably) wrong 我搜索了大量关于 Node.js/Express.js 认证的教程。所有这些都是不完整的，甚至以某种方式造成安全错误，可能会伤害新用户。当其他教程不再帮助你时，你或许可以看看这篇文章，这篇文章探讨了如何避免一些常见的身份验证陷阱。同时我也一直在 Node/Express 中寻找强大的、一体化的解决方案，来与 Rails 的 devise 竞争。更新 (8.7): 在他们的教程中，R

09

账户接管（Account Takeover）漏洞挖掘及实战案例全汇总

身份验证（Authentication）：验证某人是特定用户，是否正确提供其安全凭据（密码，安全问题答案，指纹扫描等）。

02

SRC逻辑漏洞挖掘浅谈

巧用搜索引擎首推谷歌查看了解SRC旗下涉及到的业务，收集其对应的业务下的域名，再进一步进行挖掘，如：

02

【实战篇】任意密码重置之验证码爆破

五一前刚打完一次攻防演习，挖到一个挺有代表性的漏洞。算是一次对登陆窗口的突破，之前也写过一期，大家可以回顾一下：【实战篇】记一次登陆窗口的漏洞挖掘话不多说，直接开始今天的内容吧~ Part.

03

centos下修改root密码具体方法

centos修改root密码的方法有：1、当用户具有sudo权限时就可以直接修改密码；2、当不具有权限时，可以长按Shift键进入GRUB导图模式里的Ubuntu高级选项，进行配置，本篇文章重点为大家讲解一下第二种方法。

02

密码重置、API调用、远程命令，Zabbix用户必知的几个技巧

Zabbix版本迭代很快，而且每个版本都会有很多新特性，有时有一个不起眼的小的更新却造成很多老司机翻车，以下主要介绍Zabbix几个常见的知识点。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭