Development #28004
csrf token sur les POST vers une cellule
Statut:
Nouveau
Priorité:
Normal
Assigné à:
-
Version cible:
-
Début:
14 novembre 2018
Echéance:
% réalisé:
0%
Temps estimé:
Patch proposed:
Non
Planning:
Description
Pour le moment la protection est désactivée par défaut (ce qui est nécessaire sur une situation où la cellule serait mise en pied de page et partagée vers d'autres sites) mais peut-être qu'on pourrait par défaut l'activer, tout en laissant à une cellule qui le nécessiterait la possibilité de désactiver la protection.
Ça ne pourrait pas passer par le décorateur, qui devrait rester csrf_exempt, ça devra passer par un détournement du middleware façon https://stackoverflow.com/questions/29454296/django-check-csrf-token-manually