python

原来Django的anti-csrf中间件就是一摆设

最近基于Django做些东西,也是边学边做

这Django确实是不错,比较省事,效率也比较高

今天下午在调试Django和公司文档系统时候,在cookie的处理上有些问题,搞了半天也没搞定。在后面的测试过程中,发现好像Django的CSRF中间件好像有点问题,Django是通过在csrfviewmiddleware中进行相关的验证处理,token是存储在cookie里面。其实验证过程很简单,就是把token POST过去和Cookie中的做比对,,但是问题是都是csrfmiddlewaretoken,post中的也是从cookie里拿的,其实就是同一个值来做比对处理,就相当于你POST “123”过去,他就判断“123”和“123”是否匹配,这他妈的不是和没验证一样。。。

网上找了圈,发现已经有人提到了这个问题。。。15845,不知道Django会不会也和ruby on rails 一样用owasp的csrf Guard 的代码,呵呵

关键词: django , python

我在公司将这样上QQ

因为公司不让上qq,前几天洗澡时突然闪过的一个想法。在家里已经测试ok了,不知道到公司能不能行得通。不过python在监控消息的过程中有时间会出错,现在只能被联系,不能主动的联系别人,也仅仅只能是处理消息,图片、附件什么的一律处理不了。还有些问题。仅仅是为了意淫,哈哈

22b554cd4fe4a17e53eda4212b2450e2.jpg(缩略图)

22b554cd4fe4a17e53eda4212b2450e2.jpg

大小: 132.67 KB
尺寸: 500 x 215
浏览: 522 次
点击打开新窗口浏览全图

关键词: python , msn , qq