djangoログアウトは、

Question

を読んでいる間に、リンクまたはフォームを使用してdjangobook chapterを読んでいる間に、ログアウトリンクが悪意のあるサイトの隠れた場所に置かれているcsrf攻撃を記述するセクションに出くわしました。

<a href="{% url my_logout %}" > Logout </a> 

my_logoutのURLポイント​​

今

urlpatterns=patterns('django.contrib.auth.views', 
url(r'^logout/$', 'logout_then_login', {}, name = 'my_logout'), 
) 

へ：私はジャンゴを使用して作成したWebアプリケーションで

、私は同様のログアウト・リンクに

base.htmlを使用していましたcsrf攻撃について読んだら、悪意のあるサイトが私にも問題を引き起こす恐れがあるので、フォームを使用してログアウトしたいと思います。

は、私はこの

base.html好きと考えていた。今

... 

    <form method="post" action=".">{% csrf_token %} 
     <input type="hidden" name="next" value="{{next}}" /> 
     <input type="hidden" name="confirm" value="true" /> 
     <input type="submit" value="Logout" /> 
    </form> 
... 

、私は隠された変数を処理していた場合には（confirmをこのフォームを処理するためのビューを作成する必要がありますか？ログアウトを行う必要があるかどうかを確認してください。next）、​​メソッドを使用することはできますか？

私はこれを正しく実行しているかどうか誰かに教えてください。事前に

おかげ

Answer 1

あなたも

from django.views.decorators.cache import never_cache 
from django.views.decorators.csrf import csrf_protect 
from django.views.decorators.http import require_POST 

@csrf_protect 
@require_POST 
@never_cache 
def safer_logout(request): 
    # 'confirm' is useless here, POST implies 'do it' 
    return logout_then_login(request, request.POST.get('next')) 

ようにそれをラップすることができ、SESSION_COOKIE_HTTPONLY

@ClaudeVedoviniはちょうど私がそれを編集したとき、誰かが速い入力されたと感じ