flask как сделать запрет?

0

1

К примеру роут:

@app.route('/example')
def ex():
    t = {'data':'test'}
    return jsonify(t)

Скажем этот роут обрабатывается ajax запросом ("GET /example/?_=1577318397252 HTTP/1.1" 200 -). Интересует как делать запрет на прямой GET запрос ("GET /example/ HTTP/1.1" 200 -)?

Ссылка

←	Посоветуйте js minifier.

Вы стараетесь использовать меньше плагинов в Vim/Neovim?

→

"GET /example/?_=1577318397252 HTTP/1.1" 200 -

как-то так, имхо

timestamp=request.args.get('_', None)
if timestamp is None:
  abort(401)

router ★★★★★
(26.12.19 04:59:55 MSK)

Ответ на: комментарий от router 26.12.19 04:59:55 MSK

Точно, спасибо, не доперло аргументы перехватить.

bikes
(26.12.19 06:56:39 MSK) автор топика

Ссылка

Можно проверять заголовок HTTP_X_REQUESTED_WITH == ‘XMLHttpRequest’, как это сделано в Django (https://docs.djangoproject.com/en/3.0/ref/request-response/#django.http.HttpRequest.is_ajax)

AlexKiriukha ★★★★
(26.12.19 10:57:25 MSK)

Ответ на: комментарий от AlexKiriukha 26.12.19 10:57:25 MSK

Вот только новый модный fetch этот заголовок уже не передаёт.

https://github.com/github/fetch/issues/17

Емнип, когда-то были разговоры о том, чтобы удалить из джанги метод is_ajax по этой причине.

grazor ★★
(26.12.19 12:06:45 MSK)

Ответ на: комментарий от AlexKiriukha 26.12.19 10:57:25 MSK

Нашел во фласке вот такую штуку:

https://flask.palletsprojects.com/en/0.12.x/api/#flask.Request.is_xhr

bikes
(26.12.19 12:30:12 MSK) автор топика

Ответ на: комментарий от grazor 26.12.19 12:06:45 MSK

Спасибо за информацию, не знал такого (давно не трогал фронтэнд).

AlexKiriukha ★★★★
(26.12.19 13:06:50 MSK)

Ссылка

Ответ на: комментарий от bikes 26.12.19 12:30:12 MSK

Кажется это то же самое, но flask как сделать запрет? (комментарий)

AlexKiriukha ★★★★
(26.12.19 13:08:00 MSK)

Ссылка

Звучит как дыра. Почитай про CSRF.

ei-grad ★★★★★
(14.01.20 00:08:13 MSK)

Ответ на: комментарий от ei-grad 14.01.20 00:08:13 MSK

Речь про запросы, которые не меняют данные на сервере. При чем тут CSRF. В чем дыра, можно более подробно написать? И обычно на фласке если не передается этот токен, то такой запрос не пропускается, если установлено CSRF_ENABLED = True

bikes
(14.01.20 04:27:18 MSK) автор топика
Последнее исправление: bikes 14.01.20 04:29:56 MSK (всего исправлений: 1)

Ответ на: комментарий от bikes 14.01.20 04:27:18 MSK

Дыра - в попытке ограничить возможность выполнять запрос по какому-то левому признаку. Примерно таким же способом джуны php’шники «защищаются» от CSRF. Если нужно чтобы запрос мог выполняться только с одной страницы - выдай для этой страницы токен. GET/POST/меняет состояние/не меняет - не важно.

ei-grad ★★★★★
(14.01.20 10:21:26 MSK)

Ответ на: комментарий от ei-grad 14.01.20 10:21:26 MSK

Если нужно чтобы запрос мог выполняться только с одной страницы

Или я не понимаю… но, мне нужно было, чтоб запрос выполнялся только через javascript/ajax. Чтоб пользователь не мог через браузер загрузить, зачем ему видеть массив данных. Какие к черту csrf токены здесь.

bikes
(14.01.20 13:51:49 MSK) автор топика
Последнее исправление: bikes 14.01.20 14:14:48 MSK (всего исправлений: 2)

Ссылка

Ответ на: комментарий от ei-grad 14.01.20 10:21:26 MSK

Раз мы уж тут про безопасность, поинтересуюсь. Как поможет этот токен от подделки данных в post запросе? Т.е. сервер отдал какие то данные, пользователь перехватил и вместе с токеном отправил другие. Как от такого защищаться? Как правильно валидировать данные в таком случае?

bikes
(14.01.20 14:23:13 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Посоветуйте js minifier.

Web-development

Вы стараетесь использовать меньше плагинов в Vim/Neovim?

→

Похожие темы