我们在后端使用 django 1.8.,默认授权在 Elasticbeanstalk 和 AWS CloudFront 上运行,以在 CDN 级别缓存应用程序页面。问题是我们希望将尽可能少的 http 标头列入白名单,以最小化密钥数量并最大限度地提高命中率。变化很大且我们更愿意排除的标头之一是HTTP_REFERER。在业务层面上,我们可以使用document.referer通过js解析referer,并使用ajax调用将其发送到服务器。
问题:csrf 登录、注册和其他默认的 django 身份验证应用程序在 https 协议的网站上使用时需要HTTP_REFERER。
我发现的解决方案之一是将所有身份验证页面移动到单独的行为并在那里代理所有标头。还有其他方法可以使这种设置工作吗?
我认为没有其他解决方案,然后您提到的解决方案,请使用单独的行为。
我通常使用从前端到后端的 rest api 调用,所以我不需要那里的Referer标头。
然后为我转发Referer的/admin/添加一个额外的行为。