Задать вопрос
@Hadmi
django

Является ли request.user надёжным?

Добрый день.
Вся суть в названии - насколько можно доверять значению request.user?
if object.owner == request.user:
        object.delete()

Если перед удалением объекта я делаю такую проверку - этого достаточно для защиты от злых хацкеров или это значение можно подменить?
  • Вопрос задан
  • 104 просмотра
Комментировать
Подписаться 1 Простой Комментировать
Решения вопроса 1
sim3x
@sim3x
Почитайте как формируется кука пользователя - если она уязвима, то подмена возможна

В текущей реализации проблема на стороне хттп протокола, а не на стороне джанги
В текущей реализации подмена возможна, если злоумышленник увел куку у легитимного юзера
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Python разработчик Senior/Lead (Django, DRF)
Hello, Doc!
от 300 000 до 400 000 ₽
Преподаватель Python с навыками Django для подростков
CODDY
от 40 000 до 80 000 ₽
Тестировщик (автоматизированное тестирование)
ФРИИ Москва
от 130 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Поправить сайт (мобильная версия) на WordPress
24 нояб. 2024, в 04:16
5000 руб./за проект
Необходимо поменять пароль в WINDOWS
24 нояб. 2024, в 03:11
500 руб./за проект
Требуется консультация по UX-дизайну казино
24 нояб. 2024, в 01:35
5000 руб./за проект
Ещё заказы