如何處理髮送給django作爲url參數的csrf憑據?將URL作爲URL參數傳遞給CSRF憑證?
我問,因爲那是,很明顯,the only way to submit a file upload via a form in an iFrame。
大多數在線的例子說明了通過跨站請求僞造憑證頭,
xhr.setRequestHeader("X-CSRFToken", csrfToken);
但這不是在IE /歌劇的iFrame運輸的選項。
我可以使用csrf_exempt,但這會使我的網站易受攻擊。
您可以創建一些中間件從GET PARAMS需要csrf_token,並把它放在以前CsrfViewMiddleware嘗試請求來驗證這個中間件CsrfViewMiddleware
MIDDLEWARE_CLASSES = (
'CsrfGetParamMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
)
上述
class CsrfGetParamMiddleware(object):
def process_request(self, request):
request.META['HTTP_X_CSRFTOKEN'] = request.GET.get('csrf_token')
return None
將這個拯救你從驗證它自己或子類CsrfViewMiddleware
v有趣的想法,但有沒有秒在第一個地方使用csrf作爲url參數時需要考慮哪些注意事項? – jedierikb 2013-05-02 15:20:24
TBH我不確定,根據http://stackoverflow.com/a/198473/682968 GET和POST具有相同的安全級別,因此它與「正常」發佈表單實際上沒有區別。此外,csrf令牌在頁面源代碼中也可以免費使用,所以任何人都可以在那裏閱讀它。 – rockingskier 2013-05-02 15:25:42
@rockingskier:您提到的答案已被接受,但獲得的投票少於其他答案的3倍以上(http://stackoverflow.com/a/1744404/548696),這並非沒有原因。 – Tadeck 2013-05-06 23:30:28