Является ли request.user надёжным?

Question

[Hadmi]

Добрый день.
Вся суть в названии - насколько можно доверять значению request.user?

if object.owner == request.user:
        object.delete()

Если перед удалением объекта я делаю такую проверку - этого достаточно для защиты от злых хацкеров или это значение можно подменить?

Answer 1

[sim3x]

Почитайте как формируется кука пользователя - если она уязвима, то подмена возможна

В текущей реализации проблема на стороне хттп протокола, а не на стороне джанги
В текущей реализации подмена возможна, если злоумышленник увел куку у легитимного юзера