在阅读djangobook一章时,我看到一节提到了一个csrf漏洞,其中一个注销链接被放在一个隐藏的恶意网站中。
在我使用django创建的一个网络应用程序中,我使用了类似的注销链接
base.html:
<a href="{% url my_logout %}" > Logout </a>
其中my_logout url指向django.contrib.auth.views.logout_then_login
urlpatterns=patterns('django.contrib.auth.views',
url(r'^logout/$', 'logout_then_login', {}, name = 'my_logout'),
)
现在,在阅读了关于csrf攻击的文章后,我担心恶意网站也会给我带来麻烦。所以,我想用一个表格来注销。
我想我可以像这个一样
base.html:
...
<form method="post" action=".">{% csrf_token %}
<input type="hidden" name="next" value="{{next}}" />
<input type="hidden" name="confirm" value="true" />
<input type="submit" value="Logout" />
</form>
...
现在,我应该如何编写处理此表单的视图?如果我要处理隐藏变量(confirm
检查是否应该注销,next
转到上一个视图),我还能使用django.contrib.auth.views.logout_then_login
方法吗?
有人能告诉我这样做是否正确吗?
提前感谢
你可以像一样包装它
from django.views.decorators.cache import never_cache
from django.views.decorators.csrf import csrf_protect
from django.views.decorators.http import require_POST
@csrf_protect
@require_POST
@never_cache
def safer_logout(request):
# 'confirm' is useless here, POST implies 'do it'
return logout_then_login(request, request.POST.get('next'))
此外,请考虑使用SESSION_COOKIE_HTTPONLY