Django- CSRF和POSTing
Django- CSRF和POSTing
提问于 2017-07-03 18:34:52
在Django视图中,我将一个Html表单(带有一些Html的实际字符串,来自我的DB)放入一个Html模板中,并带有标记:{{ injected_form|safe }}。这成功地显示了表单,但我遇到了一个问题,POSTing it:
禁止(.)CSRF令牌丢失或不正确。
(我知道这是适当的Django行为,因为表单本身中没有CSRF令牌标记/字段。顺便说一下,DB中自定义Html表单字符串的原因是它们可以由实际用户生成)
我可以实现的一个解决方案是TheBronx对here问题的回答。在这种情况下
<form method="post">
{% csrf_token %}
......
</form>是不可能的!这个问题有解决办法吗?
我已经想出了如何在没有相关Django模型的情况下处理/接收帖子,但我没有预见到CSRF问题的提交:(任何帮助都将不胜感激。
回答 1
Stack Overflow用户
回答已采纳
发布于 2017-07-03 18:39:53
我不知道为什么不可能。当然,存储在数据库中的表单不需要包含<form>标记本身,因此您可以自己轻松地使用这些标记并添加CSRF令牌。无论如何,这似乎更安全,因为您应该真正确保表单发布的目的地。
但我必须说,这种做法似乎是错误的。允许用户将原始HTML添加到数据库并将其直接输出到模板中是绝对不安全的。允许他们在HTML中指定表单字段似乎是各种注入攻击的秘诀。
相反,请考虑允许他们从所选的字段中进行选择,并从这些字段中自己构建表单。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/44892041
复制相关文章
相似问题
腾讯云开发者
