La balise de protection CSRF {% csrf_token%} est-elle toujours nécessaire dans Django 1.2?

J'ai supprimé {% csrf_token %} de mon formulaire et la soumission fonctionne toujours. Je ne pouvais pas comprendre pourquoi. J'ai ensuite regardé la source et j'ai réalisé que le jeton était toujours là juste à côté de l'élément <form>. J'ai changé l'identifiant du formulaire pour m'assurer qu'il mettait définitivement à jour la source et c'était mais l'entrée cachée est toujours là. Je utilise Django 1.2. Est-ce que {% csrf_token %} est toujours nécessaire?

Vive

Rich

Source

2010-12-01 Rich

Après plus d'investigation, il apparaît que le {% csrf_token%} est toujours inséré si le formulaire a la méthode 'post' et non si ce n'est pas le cas. Django très malin. Protection automatique – Rich

affichez cette réponse et acceptez-la (vous devrez peut-être attendre 24 heures avant de pouvoir accepter votre propre réponse). –

De la documentation:

Dans Django 1.1, la balise de modèle n'existait pas. Au lieu de cela, un middleware de post-traitement qui a réécrit des formulaires POST pour inclure le jeton CSRF a été utilisé. Si vous mettez à niveau un site depuis la version 1.1 ou antérieure, veuillez lire cette section et le Upgrading notes ci-dessous.

http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#legacy-method

Source

2010-12-01 11:17:24

Après une enquête plus approfondie, il apparaît le {% csrf_token %} est toujours inséré si la forme a méthode post et non si elle ne fonctionne pas. Protection automatique très intelligente de Django.

Source

2010-12-01 13:36:15 Rich

Je crois que cela ne se produit que si vous ajoutez 'django.middleware.csrf.CsrfResponseMiddleware' à vos classes de middleware. Ce n'est plus recommandé. Voir http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#legacy-method –

La balise de protection CSRF {% csrf_token%} est-elle toujours nécessaire dans Django 1.2?

Répondre

Questions connexes