Question

我正在使用django管理一个网站，其中id为post id，用户ID明确传递。例如，我可以有/ posts / 1，/ posts / 2 /

即使我检查当前用户是否可以阅读相关帖子，传递这样的参数是否真的安全，或者我应该做/ posts / lkjfekj87Dokdz98 /对应于/ posts / 1 /这样的事情？

使用/ post / 1 /

调用的详细视图示例

class DetailView(generic.DetailView):
    model = Post

    def get_context_data(self, **kwargs):
        context = super(generic.DetailView, self).get_context_data(**kwargs)
        if context['post'] not in self.request.user.allowed_post:
            raise PermissionDenied
        return context

Answer 1

我找到了答案。这种技术被称为混淆。它可以用于https://pypi.python.org/pypi/django-unfriendly

传递参数而不加密

1 个答案: