1 Вопрос: Слишком много информации в объекте запроса Django.META

вопрос создан в Wed, May 8, 2019 12:00 AM

Недавно я проверял request.META для конкретного представления, и мне кажется, что все переменные среды, такие как DJANGO_SECRET_KEY, DJANGO_DATABASE_NAME и DJANGO_SUPERUSER_PASSWORD ... и т. д., содержатся в этом объекте в качестве дополнительного значения по умолчанию. Джанго request.META данные. Как мне удалить указанные переменные из META? Это как-то доступно со стороны клиента?

Полагаю, я мог бы использовать какое-то промежуточное программное обеспечение для их удаления, но кто-нибудь еще видел такое поведение? Это нормально /безопасно?

N.B . Я указал выше как переменные ENVIRONMENT внутри моего файла docker-compose.yml для службы django web.

    
0
  1. Почему вас волнует, что в нем содержится?
    2019-05-08 16: 32: 00Z
  2. @ DanielRoseman Привет, Даниэль, я просто думаю, что если кто-то сможет проверить META на наличие злонамеренных намерений ... (Мне нужен заголовок HTTP_AUTHORIZATION, но технически я я не могу это раздеть, так что, наверное, мне не о чем беспокоиться.)
    2019-05-09 08: 32: 52Z
  3. Кто может это проверить? Это внутренняя переменная. Если кто-то имеет доступ к вашим запущенным процессам Python, у вас есть более серьезная проблема, чем то, что находится в переменной.
    2019-05-09 08: 52: 29Z
  4. @ DanielRoseman Справедливая точка.
    2019-05-09 09: 52: 40Z
1 ответ                              1                         

Это звучит так, потому что вы устанавливаете их как переменные окружения, они включены в request.META. Таким образом, вам нужно будет не хранить их как переменные env, или выполнять собственную обработку для их настройки и удаления. Однако обратите внимание, что клиент не может получить доступ к тому, что находится в request.META, так что это не плохо с точки зрения безопасности.

    
1
2019-05-08 16: 33: 15Z
  1. @ NSO Я посмотрю, смогу ли я согласиться с тем, что некоторые другие здесь могут проверить, что это не проблема безопасности.
    2019-05-09 08: 33: 29Z
источник размещен Вот