我担心我的网络应用程序的安全性,我正在使用 Django,有时我使用 AJAX 调用 Django url,它将执行代码,然后根据结果返回带有消息的 HttpResponse,用户永远不会注意到这是在后台发生的。
但是,如果我使用 AJAX 调用的 url 是“runcode/”,并且用户以某种方式跟踪它并尝试使用该 url 向我的域发送请求(类似于“www.example.com”)。 com/runcode/"),它不会运行代码,因为 Django 也希望发送 csrf token ,所以问题来了。
用户有可能获取 csrf token 并发送 POST?,我觉得答案是"is",所以任何人都可以帮助我提示如何拒绝这些调用(如果进行了这些调用)没有达到预期目标?
最佳答案
正如其他评论中所述,网络应用程序的目的是根据用户交互执行代码。有时,代码只是导致显示另一个 html 模板,而在其他情况下,它会导致其他代码执行。
如果您担心未经授权的用户访问敏感数据,django 内置了工具来帮助进行身份验证/授权。
建议您阅读它:
关于javascript - 防止第三方调用内部 POST 方法,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58961605/