Django : @login_required를 사용하고 LOGIN_URL을 설정할 때 정보 유출 문제가 발생했습니다.

Question

@login_required 데코레이터를 사용하고 LOGIN_URL 변수를 설정할 때 정보 누출이 발견되었습니다.

모든 콘텐츠에 대해 필수 로그인이 필요한 사이트가 있습니다. 문제는 기존 페이지 일 때 다음 변수가 설정된 로그인 페이지로 리디렉션되는 것입니다. 당신이 볼

http://localhost:8000/validurl/ 

: 그래서

이와 요구 로그인하지 않은 경우이 참조

http://localhost:8000/faultyurl/ 

:

http://localhost:8000/login/?next=/validurl/ 

를하고 아닌 기존의 페이지를 요청하는 경우 :

http://localhost:8000/login/ 

내가 원하지 않는 정보가있다. 나는 로그인 메소드를 오버라이드하고, 다음을 비워 주며,이 서브 클래 싱 된 메소드에서 'super'를 호출하는 것을 고려했다.

또 다른 문제는 LOGIN_URL을 설정하지 않고 일부 테스트가 실패하는 것입니다. '/ login /'대신 '/ accounts/login /'로 리디렉션됩니다. 따라서 LOGIN_URL을 사용하고 싶지만 '다음 자동'기능을 사용하지 않도록 설정하고 싶습니다.

제목을 밝힐 수있는 사람은 누구입니까?

고맙습니다.

Gerard.

Answer 1

urls.py 파일의 마지막 패턴으로이 줄을 포함 할 수 있습니다. 다른 패턴과 일치하지 않는 URL을 로그인 페이지로 다시 라우팅합니다.

urlpatterns = patterns('', 

    ... 

    (r'^(?P<path>.+)$', 'django.views.generic.simple.redirect_to', { 
     'url': '/login/?next=/%(path)s', 
     'permanent': False 
    }), 
) 

편집 : 다음을 수행, 인증 된 사용자 404 페이지를 제기 유지하려면 :

from django.http import Http404, HttpResponseRedirect 
def fake_redirect(request, path): 
    if request.user.is_authenticated: 
     raise Http404() 
    else: 
     return HttpResponseRedirect('/login/?next=/%s' % path) 

urlpatterns = patterns('', 

    ... 

    (r'^(?P<path>.+)$', fake_redirect), 
)