Django 發佈安全性更新 2/8

這篇也 delay 了好多天, 在 2/8 Django 發佈了安全性更新, 主要是針對 CSRF 這件事。

如果有用 Django 1.2 的人就一定知道 csrf 這個東西, 畢竟 Django 1.2 預設開啟了 csrf, csrf 簡單來說就是防止假造的 POST request, 不過其實 csrf 並沒有對 XMLHttpRequest 的 POST 做處理, 畢竟瀏覽器限制 XMLHttpRequest 得在同一個 domain 跟 protocol。

不過在文中提到, 現在攻擊者可以透過瀏覽器外掛跟 redirect (?) 來利用 XMLHttpRequest 跨過 csrf 保護, 所以 Rails 在同一天也發佈了 patch, 用以防止 XMLHttpRequest 的 csrf。

不過其實這有點頭痛, 每個 Ajax POST request 都要加 csrf token 上去, 我的媽呀 …

tzangms

Read more posts by this author.

Subscribe to Oceanic / 海海人生

Get the latest posts delivered right to your inbox.

or subscribe via RSS with Feedly!