2012-05-09 30 views
1

django-pistonを使用して一般的なCRUDを作成する予定です。私のサンプルコードの一つは、以下の投稿している間にcsrfmiddlewaretoken投稿django

class TaskHandler(BaseHandler): 
allowed_methods = ('GET','POST',) 
model = Task 

def read(self, name=None): 
    return self.model.objects.all() 

def create(self, request, *args, **kwargs): 
    if not self.has_model(): 
     return rc.NOT_IMPLEMENTED 

    attrs = self.flatten_dict(request.POST) 
    if attrs.has_key('data'): 
     # rest.POST.get('data') has csrfmiddlewaretoken as a hiddenfield 
     # i need to exclude it from post as my ORM is giving error message 
     ext_posted_data = simplejson.loads(request.POST.get('data')) 
     attrs = self.flatten_dict(ext_posted_data) 

    try: 
     inst = self.model.objects.get(**attrs) 
     return rc.DUPLICATE_ENTRY 
    except self.model.DoesNotExist: 
     inst = self.model(**attrs) 
     inst.save() 
     return inst 
    except self.model.MultipleObjectsReturned: 
     return rc.DUPLICATE_ENTRY 

を以下のい要するに

Piston/0.2.2 (Django 1.4) crash report: 
    Traceback (most recent call last): 
    File "C:\Python27\Lib\site-packages\django\bin\sumit\sumit\handler.py", line 27, 
     in create inst = self.model.objects.get(**attrs) 
    File "C:\Python27\lib\site-packages\django\db\models\manager.py", line 131, 
     in get return self.get_query_set().get(*args, **kwargs) 
    File "C:\Python27\lib\site-packages\django\db\models\query.py", line 358, 
     in get clone = self.filter(*args, **kwargs) 
    File "C:\Python27\lib\site-packages\django\db\models\query.py", line 621, 
     in filter return self._filter_or_exclude(False, *args, **kwargs) 
    File "C:\Python27\lib\site-packages\django\db\models\query.py", line 639, 
     in _filter_or_exclude clone.query.add_q(Q(*args, **kwargs)) 
    File "C:\Python27\lib\site-packages\django\db\models\sql\query.py", line 1250, 
     in add_q can_reuse=used_aliases, force_having=force_having) 
    File "C:\Python27\lib\site-packages\django\db\models\sql\query.py", line 1122, 
     in add_filter process_extras=process_extras) 
    File "C:\Python27\lib\site-packages\django\db\models\sql\query.py", line 1316, 
     in setup_joins "Choices are: %s" % (name, ", ".join(names))) 

    FieldError: **Cannot resolve keyword 'csrfmiddlewaretoken' into field. 
     Choices are: complete, id, name** 

答えて

3

エラーログです:それをしないでください。

任意のPOSTパラメータを任意のユーザーが送信できます。フォームにそれが含まれていなくても、ランダムなPOSTパラメータを追加しないという保証はありません。

パラメータのうちcsrfmiddlewaretokenをフィルタリングするのではなく、含めたいものをホワイトリストに登録してみてください。つまり、モデルフィールドに対応するものを選択するだけで、ユーザーがそれらをフィルタリングできるようになります。

更新:
わかりましたので、それをフィルタリングする方法を、ちょうどあなたの好奇心を満たすために。 flatten_dictは正規のPython辞書を返します。つまり、単にdel attrs['csrfmiddlewaretoken']を辞書から削除することができます。ホワイトリストに
、次のようなものが動作するはずです::

アップデート(2)

allowed_keys = ['complete', 'id', 'name'] 
attrs = dict((key, value) for key, value in ext_posted_data if key in allowed_keys) 
+0

あなたが正しいです。セキュリティ上の問題もあると思います。 – sumit

+0

まだ自己知識のために、それをフィルタリングする方法は? – sumit

+0

更新された回答を参照してください。 – koniiiik