Django形式集安全性
Django形式集安全性
提问于 2016-05-04 00:29:56
我注意到了Django表单集中的一些东西:
每个formset.form都有一个隐藏字段,其中包含正在编辑的模型的id。所有人需要做的就是更改id并提交,默认的表单集clean()或save()方法都不会眨眼。
我认为跟踪哪些对象在原始的formset查询集中,并在保存时对它们进行比较并不是太复杂。我想知道为什么Django还没有做到这一点?
就我而言,我正在检查表单集存储的权限,如下所示:
if formset.is_valid():
for fs in formset:
report = fs.save(commit=False)
if can_edit(request.user, report):
report.save()还有没有人注意到这个问题?我很好奇你是怎么解决这个问题的。
回答 1
Stack Overflow用户
发布于 2016-05-04 00:56:20
如果您拥有编辑其他对象的必要权限,那么为什么Django要阻止您这样做呢?HTTP请求是无状态的,所以当POST进入时,Django将检查您是否被允许执行请求。
因此,假设您已通过身份验证,并且有权更改Comment对象。您的表单包含一个包含id=1的注释。将隐藏字段更改为id=2,然后提交表单。Django将检查您的权限,并查看是否允许您更改任何Comment实例并应用POSTed更改。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/37009501
复制相关文章
相似问题
腾讯云开发者
