0
我通過沒有HTML表單的AJAX發出POST請求。 是否有任何安全問題? 爲什麼沒有csrf錯誤?因爲我不發送任何csrf數據,並且在django中啓用了csrf?使用Django 1.10 + AJAX而不使用任何HTML表單的安全性
肘status.js
jQuery(document).ready(function($) {
$("#switch-status").click(function(){
$.ajax({
url: '/account/switches/',
data: {'toggle': 'status'}
});
});
});
view.py
@login_required
def switches(request):
toggle = request.GET.get('toggle', None)
current_user = request.user
update = Switches.objects.get(owner=current_user)
if toggle == 'status':
if update.status is True:
update.status = False
else:
update.status = True
update.save()
return HttpResponse('')
謝謝。 GET有沒有其他安全問題? – seeberg
只要你不通過這種方法傳遞任何敏感數據,那麼不,沒有安全問題。看到[這裏](http://stackoverflow.com/questions/198462/is-either-get-or-post-more-secure-than-the-other)或[這裏](https://security.stackexchange。 com/questions/33837/get-vs-post-which-is-more-secure)瞭解更多信息。 –
@nik_m你能談談嗎? :) –