Python中文网 - 问答频道, 解决您学习工作中的Python难题和Bug
Python常见问题
我正在构建一个API,并开始使用GenericAPIViews。在这个例子中
class InsertActivityChange(UpdateAPIView):
authentication_classes = []
permission_classes = []
serializer_class = ActivitiesSerializer
lookup_field = 'id'
def get_queryset(self):
return Activities.objects.filter(id=self.kwargs['id'])
def put(self, request, *args, **kwargs):
return self.update(request, *args, **kwargs)
path('insertactivitychange/<int:id>', views.InsertActivityChange.as_view(), name='insertactivitychange'),
我使用了一个泛型类来更新对象。我担心的是,如果允许在URL之后直接输入ID,是否会冒很大风险。显然,我会通过正确配置身份验证和权限类来进一步降低风险,因此条目的ID甚至是安全风险吗
Tags: selfapiidreturnrequestdefargskwargs
热门问题
- python语法错误(如果不在Z中,则在X中表示s)
- Python语法错误(无效)概率
- python语法错误*带有可选参数的args
- python语法错误2.5版有什么办法解决吗?
- Python语法错误2.7.4
- python语法错误30/09/2013
- Python语法错误E001
- Python语法错误not()op
- python语法错误outpu
- Python语法错误print len()
- python语法错误w3
- Python语法错误不是caugh
- python语法错误及yt-packag的使用
- python语法错误可以查出来!!瓦里亚布
- Python语法错误可能是缩进?
- Python语法错误和缩进
- Python语法错误在while循环中生成随机numb
- Python语法错误在哪里?
- python语法错误在尝试导入包时,但仅在远程运行时
- Python语法错误在电子邮件地址提取脚本中
热门文章
- Python覆盖写入文件
- 怎样创建一个 Python 列表?
- Python3 List append()方法使用
- 派森语言
- Python List pop()方法
- Python Django Web典型模块开发实战
- Python input() 函数
- Python3 列表(list) clear()方法
- Python游戏编程入门
- 如何创建一个空的set?
- python如何定义(创建)一个字符串
- Python标准库 [The Python Standard Library by Ex
- Python网络数据爬取及分析从入门到精通(分析篇)
- Python3 for 循环语句
- Python List insert() 方法
- Python 字典(Dictionary) update()方法
- Python编程无师自通 专业程序员的养成
- Python3 List count()方法
- Python 网络爬虫实战 [Web Crawler With Python]
- Python Cookbook(第2版)中文版
如果您担心访问,请记住添加权限和筛选器。如果你专注于安全和隐藏资源,确保它们将是404而不是401或403。请看一下DRF filtering部分,在序列化程序中使用},您可以根据
PrimaryKeyRelatedField{user进行筛选如果您担心暴露
pk,只需使用uuid。它仍然可见,但人类无法预测下一个id是什么所以,即使第三方知道资源的id,如果您想隐藏资源,它也应该返回404。这样你就向攻击者暴露了一个毫无意义的值
让我试着回答这个问题
每当我问类似的问题时,我的一位导师总是强调这一点
为了回答您的问题,据我说,不,您不会通过公开ID来暴露任何安全缺陷,事实上,这是允许用户通过API与资源交互的最常见方式之一
您肯定需要有适当的身份验证和授权,以保护恶意来源对资源的操纵。在DRF和django的上下文中,您可以通过使用身份验证和权限来实现这一点
希望这能回答你的问题
相关问题 更多 >
编程相关推荐