我正在使用django管理一个网站,其中id为post id,用户ID明确传递。 例如,我可以有/ posts / 1,/ posts / 2 /
即使我检查当前用户是否可以阅读相关帖子,传递这样的参数是否真的安全,或者我应该做/ posts / lkjfekj87Dokdz98 /对应于/ posts / 1 /这样的事情?
使用/ post / 1 /
调用的详细视图示例class DetailView(generic.DetailView):
model = Post
def get_context_data(self, **kwargs):
context = super(generic.DetailView, self).get_context_data(**kwargs)
if context['post'] not in self.request.user.allowed_post:
raise PermissionDenied
return context