Question

我在使用“@login_required decorator”和确定LOGIN_URL变量时发现一种信息泄漏形式。

我有一个网站,要求所有内容都必须登录。问题在于,你在挂上现有一页时,将下个变量重新定位到日志上。

因此,如果不gged,要求:

 http://localhost:8000/validurl/

阁下:

 http://localhost:8000/login/?next=/validurl/

在要求使用非现有网页时:

 http://localhost:8000/faultyurl/

阁下:

 http://localhost:8000/login/

这些信息揭示了我想要的一些信息。我认为, overrid倒了原木方法,迫使下方 empty空,并 calling上这一分层方法。

另一个问题是,我的一些测试没有LOGIN-URL套。转至账户/记录/记录/而不是/记录。因此,我想利用LOGIN_URL,但去掉下一个汽车特征。

任何人都能够说明这个问题?

抽签。

Gerard。

Answer 1

您可将这一条列作您的<代码>urls.py文档中的最后一种格式。它将重新计算与任何其它模式不匹配的圆顶。

urlpatterns = patterns(  ,

    ...

    (r ^(?P<path>.+)$ ,  django.views.generic.simple.redirect_to , {
         url :  /login/?next=/%(path)s , 
         permanent : False
    }),
)

EDIT: 不断提高404页,供认证用户使用:

from django.http import Http404, HttpResponseRedirect
def fake_redirect(request, path):
    if request.user.is_authenticated:
        raise Http404()
    else:
        return HttpResponseRedirect( /login/?next=/%s  % path)

urlpatterns = patterns(  ,

    ...

    (r ^(?P<path>.+)$ , fake_redirect),
)

友情链接