传递参数而不加密

时间:2013-09-03 18:49:11

标签: django security parameter-passing

我正在使用django管理一个网站,其中id为post id,用户ID明确传递。 例如,我可以有/ posts / 1,/ posts / 2 /

即使我检查当前用户是否可以阅读相关帖子,传递这样的参数是否真的安全,或者我应该做/ posts / lkjfekj87Dokdz98 /对应于/ posts / 1 /这样的事情?

使用/ post / 1 /

调用的详细视图示例
class DetailView(generic.DetailView):
    model = Post

    def get_context_data(self, **kwargs):
        context = super(generic.DetailView, self).get_context_data(**kwargs)
        if context['post'] not in self.request.user.allowed_post:
            raise PermissionDenied
        return context

1 个答案:

答案 0 :(得分:0)

我找到了答案。这种技术被称为混淆。它可以用于https://pypi.python.org/pypi/django-unfriendly