Задать вопрос
@Hadmi

Является ли request.user надёжным?

Добрый день.
Вся суть в названии - насколько можно доверять значению request.user?
if object.owner == request.user:
        object.delete()

Если перед удалением объекта я делаю такую проверку - этого достаточно для защиты от злых хацкеров или это значение можно подменить?
  • Вопрос задан
  • 106 просмотров
Подписаться 1 Простой Комментировать
Помогут разобраться в теме Все курсы
  • Нетология
    Django: создание backend-приложений
    7 недель
    Далее
  • Академия Эдюсон
    Python-разработчик + ИИ
    9 месяцев
    Далее
  • ProductStar × РБК
    Python и Django: бэкенд-разработка
    3 месяца
    Далее
Решения вопроса 1
sim3x
@sim3x
Почитайте как формируется кука пользователя - если она уязвима, то подмена возможна

В текущей реализации проблема на стороне хттп протокола, а не на стороне джанги
В текущей реализации подмена возможна, если злоумышленник увел куку у легитимного юзера
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы