0
目前我正在发送整个URL作为参数,以便能够从我开始的位置返回到同一页面。将整个网址作为参数发送有没有安全风险?
<a href="{% url 'bom_edit' pk=field1.id uri=request.build_absolute_uri %}">Edit</a>
这样做有什么安全隐患吗?
目前我正在发送整个URL作为参数,以便能够从我开始的位置返回到同一页面。将整个网址作为参数发送有没有安全风险?
<a href="{% url 'bom_edit' pk=field1.id uri=request.build_absolute_uri %}">Edit</a>
这样做有什么安全隐患吗?
你可以只发送路径:
<a href="{% url 'bom_edit' pk=field1.id uri=request.path %}">Edit</a>
是的,但有发送路径和从安全的角度来看,整个事情与纽约不同? –
只发送路径,确保重定向到您自己的站点,如果您拒绝代码以接收完整的url并重定向到它,则可以使用外部主机url调用它。 – Gocht
“A *安全*观点?”不,可能不是。但是,我认为Goht所建议的是: “如果您不打算*去其他地方,'不要*在其他地方提及*''”如果有人正在查看您的HTTP代码网页,这是一个好主意(恕我直言),网址应该*相对*,除非有令人信服的理由让他们*绝对*。 “给他们他们的期望。” –