Передача "csrf_token" в формы | Форум

25 Июль 2015, 20:22

Отклики: 57

25 Июль 2015, 20:22

Отклики: 57

В обучающих роликах по Django и в документации указано, что при создании форм (в данном случае речь идет о форме модели ModelForm) нужно передавать "csrf_token" следующим образом (фрагмент из документации):

def my_view(request):
    c = {}
    c.update(csrf(request))
    ... 
    return render_to_response("template.html", c)

То есть, создается словарь (context), в который добавляется словарь csrf(request) - 3 строка.

Мне нравится отправлять переменные с помощью locals(). То есть, в данном случае ключ "csrf_token" я передаю следующим образом:

def my_view(request):
    csrf_token = csrf(request)['csrf_token']
    ...
    return render(request, 'template.html', locals())

Вопросы:

1)Вроде locals() - это такой же словарь, но все же решил уточнить, не ухудшит ли это безопасность?

2)Нормальной ли считается практика отправки переменных через locals()?

Спасибо.

Обновлено 25 Июль 2015, 20:24 hisbvdis.

Ответ | 0

26 Июль 2015, 10:00

alerion

Отклики: 5748
Местонахождение: Львов

26 Июль 2015, 10:00

alerion

Отклики: 5748
Местонахождение: Львов

Похоже это пример, который показывает механизм работы. Вообще {% csrf_token %} добавить в <form> и все.

2)Нормальной ли считается практика отправки переменных через locals()?

Нет. Никогда так не делайте. Это противоречит "Явное лучше не явного". Очень легко передать в шаблон то, что не нужно и перезаписать какую-то важную переменную.

Фиксю баги по трейсбеку.

Ответ | 0

26 Июль 2015, 12:41

hisbvdis

Отклики: 57

26 Июль 2015, 12:41

hisbvdis

Отклики: 57

Вообще {% csrf_token %} добавить в <form> и все.

Да, действительно. И так работает. Спасибо.

Нет. Никогда так не делайте. Это противоречит "Явное лучше не явного". Очень легко передать в шаблон то, что не нужно и перезаписать какую-то важную переменную.

Ясно. Лучше передавать посредством добавления в словарь ключей?

context = {}
context['name'] = 'John'
context['age'] = 30
render(request, 'template.html', context)

Или может есть более удобный(быстрый) способ?

Обновлено 26 Июль 2015, 12:41 hisbvdis.

Ответ | 0

26 Июль 2015, 14:24 alerion Отклики: 5748 Местонахождение: Львов	26 Июль 2015, 14:24 alerion Отклики: 5748 Местонахождение: Львов Или может есть более удобный(быстрый) способ? А что конкретно не удобного(медленного) в этом способе? Можно более декларативно: `context = { 'a': 1 }` Фиксю баги по трейсбеку.
	Ответ \| 0

26 Июль 2015, 16:04 hisbvdis Отклики: 57	26 Июль 2015, 16:04 hisbvdis Отклики: 57 А что конкретно не удобного(медленного) в этом способе? Можно более декларативно: context = { 'a': 1 } Просто уточняю. Спасибо за ответ.
	Ответ \| 0