@login_required 데코레이터를 사용하고 LOGIN_URL 변수를 설정할 때 정보 누출이 발견되었습니다.Django : @login_required를 사용하고 LOGIN_URL을 설정할 때 정보 유출 문제가 발생했습니다.
모든 콘텐츠에 대해 필수 로그인이 필요한 사이트가 있습니다. 문제는 기존 페이지 일 때 다음 변수가 설정된 로그인 페이지로 리디렉션되는 것입니다. 당신이 볼
http://localhost:8000/validurl/
: 그래서
이와 요구 로그인하지 않은 경우이 참조http://localhost:8000/faultyurl/
:
http://localhost:8000/login/?next=/validurl/
를하고 아닌 기존의 페이지를 요청하는 경우 :
http://localhost:8000/login/
내가 원하지 않는 정보가있다. 나는 로그인 메소드를 오버라이드하고, 다음을 비워 주며,이 서브 클래 싱 된 메소드에서 'super'를 호출하는 것을 고려했다.
또 다른 문제는 LOGIN_URL을 설정하지 않고 일부 테스트가 실패하는 것입니다. '/ login /'대신 '/ accounts/login /'로 리디렉션됩니다. 따라서 LOGIN_URL을 사용하고 싶지만 '다음 자동'기능을 사용하지 않도록 설정하고 싶습니다.
제목을 밝힐 수있는 사람은 누구입니까?
고맙습니다.
Gerard.
은 IMO, 그 반 올바른 동작입니다. 존재하지 않는 리소스의 경우 404를, 볼 수있는 권한이 필요한 기존 리소스의 경우 403을 반환해야합니다. 다시 말해서, 존재하지 않는 것들에 대한 로그인 페이지로 향하지 않아야합니다 - 매우 베어스러운 404 페이지를 보여줍니다. –