Xử lý CSRF theo cách chuẩn

[kc97ble]

Hiện tại, ta đang dùng một cái middleware để vô hiệu hóa CSRF đối với một số request.

project/app/middleware.py:
  42  
  43: class RestAPICsrfMiddleware(CsrfViewMiddleware):
  44: 
  45:     def process_view(self, request, callback, callback_args, callback_kwargs):
  46:         """Django restful admin -> skip csrf check.
  47:         """
  48: 
  49:         app_name = resolve(request.path_info).app_name
  50:         if app_name == 'django_restful_admin':
  51:             return self._accept(request)
  52:         else:
  53:             # Origin csrf token check for other routes
  54:             return super(RestAPICsrfMiddleware, self).process_view(
  55:                 request, callback, callback_args, callback_kwargs
  56:             )
  57: 

Đây chỉ là giải pháp tạm thời, cần được xử lý theo cách chuẩn.

Mời các anh em vào bàn luận tìm giải pháp ạ.

[baonq-me]

Anh có thể nói thêm như thế nào gọi là cách chuẩn nên làm được không anh ?

[dangquangdon]

Tạo sao mình lại cần cái này nhỉ, bạn giải thích cụ thể hơn được ko?

[kc97ble]

Đây là một cách hack, tạm thời bỏ qua CSRF với một số request để cho trang web chạy được.

@dangquangdon "Nghe đồn" thì nếu bỏ middleware này, sẽ bị lỗi CSRF token invalid.

@DungDA Anh có nhớ tại sao code đoạn code này k ạ? Nếu bỏ đi thì có sao không ạ?

[quoccuong19]

Nếu là Restful thì phải xài token_code, chớ sao lại hardcode kiểu "app_name == 'django_restful_admin'" ???