Bảo vệ yêu cầu GET trong ứng dụng web Django

Question

Làm cách nào để bảo vệ yêu cầu GET cụ thể (ví dụ: ^api/...)?

Tôi muốn thực hiện chế độ xem này (gọi API) chỉ có sẵn cho ứng dụng web Django của tôi.

Chỉ nên gọi bằng ứng dụng web Django chứ không phải trực tiếp.

Thực tiễn tốt để sử dụng khóa băm được tạo bởi CSRF Middle-ware? Có cách tiếp cận nào tốt hơn không?

Answer 1

Kiểm tra các replies này, dường như chúng đã trải qua cùng một vấn đề này. Tôi muốn viết một trang trí để kiểm tra nếu request.META['REMOTE_ADDR'] giống với địa chỉ địa phương của bạn.

Answer 2

Tôi e rằng không có cách nào đáng tin cậy để đạt được điều này. Cách tốt nhất tôi có thể nghĩ đến, là tạo ra một số loại khóa cá nhân trong ứng dụng javascript của bạn, và ofuscate mã. Điều đó sẽ gây khó khăn cho "một người làm quen" để sử dụng các phương pháp của bạn. Có thể sử dụng HMAC, hoặc một cái gì đó như thế.

Ví dụ. Bạn muốn thực hiện cuộc gọi sau: /api/users/1/vote_up. Bạn có thể có một số mã để tạo khóa riêng của mình:

<script src="http://crypto-js.googlecode.com/svn/tags/3.1.2/build/rollups/hmac-sha256.js"> 

var hmac = CryptoJS.algo.HMAC.create(CryptoJS.algo.SHA256, generatePassphraseObfuscated()); 
hmac.update("/api/users/1/vote_up"); 
var hash = hmac.finalize(); 
$.ajax(
    /api/users/1/vote_up, 
    {hash: hash} 
) 
</script> 

Chức năng generatePassphraseObfuscated là chìa khóa. Bạn cần phải làm cho nó thực sự khó khăn để nhân rộng. Ngoài ra, bạn có thể thay đổi nó trong mọi yêu cầu và thêm cookie để xác định "phiên bản" nào bạn đã gửi. Ví dụ: bạn có thể có hai phiên bản:

function generatePassphraseObfuscated(){ 
    return 1; 
} 

function generatePassphraseObfuscated(){ 
    return 2; 
} 

Và phân phối chúng một cách ngẫu nhiên và xác định cookie bằng cookie. Vì vậy, bạn biết được sử dụng trong chế độ xem django của bạn.

Một lần nữa, nó không đáng tin cậy, không có cách nào dễ dàng để làm những gì bạn muốn làm. Nó chỉ là một cách ngớ ngẩn để làm cho nó xấu xí cho những người khác để tái tạo.