Django REST Framework:在空的ListView上的顶级JSON数组是否存在安全风险?
Django REST Framework在查询没有任何对象的ListView时返回似乎是空数组的内容。这是安全隐患吗?
1 个答案:
答案 0 :(得分:0)
基于 OWASP 建议,you should always return a list with an object on the outside,但这似乎只是本 post 中讨论的旧浏览器中的一个漏洞。
尽管如此,最好遵循 OWASP 安全建议,尽可能返回嵌套在对象内的列表。
使用 Django DRF 的通用 ListModelMixin 视图,如果您包含所有分页设置,它将返回一个带有 results 属性下的列表的具有分页属性的对象。
# settings.py
REST_FRAMEWORK = {
...
'DEFAULT_PAGINATION_CLASS': 'rest_framework.pagination.PageNumberPagination',
'PAGE_SIZE': 20,
}
# API response body
{
"count": 12,
"next": null,
"previous": null,
"results": [
...
]
}
相关问题
- AHAH是否存在安全风险?
- 什么是“顶级JSON阵列”以及为什么它们存在安全风险?
- 如何使用Django REST框架将上下文从顶级序列化程序传递到包含的序列化程序
- 使用Restangular来使用RESTful api - RESTful api将数组作为顶级对象返回是否安全?
- Django响应返回空数组
- DRF嵌套序列化器将非常深的字段放在顶层而没有中间层
- 如何使用ModelSerializer添加其他顶级JSON字段
- 相对导入超出顶级软件包错误
- Django REST Framework:在空的ListView上的顶级JSON数组是否存在安全风险?
- ValueError:尝试相对导入超出顶级包(Django)
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?