Question

Я использую Django Password Reset для отправки ссылки на пароль восстановления, когда пользователь вводит свой электронный идентификатор с помощью django.contrib.auth.urls, который работает отлично.

Это из документации Django,

Если указанный адрес электронной почты не существует в системе, пользователь неактивен или имеет неподходящий пароль, пользователь все равно будет перенаправлен на это представление, но электронное письмо отправлено не будет.

Мой вопрос:

Если я добавлю что-то вроде EmailValidation, чтобы проверить, существует ли введенная пользователем электронная почта в базе данных или нет, и вызову ValidationError, это будет проблемой безопасности?

ruddra · Answer 1 · 29 ноября 2018

Очевидно, потому что это позволит хакеру использовать грубую силу, чтобы угадать электронные письма.И если пароль пользователя недостаточно силен, он может использовать грубую силу или угадать принудительный вход в систему (если нет других методов безопасности).Я бы посоветовал добавить captcha на страницу сброса, чтобы предотвратить появление ботов на странице сброса пароля.

Неверный адрес электронной почты в Django Сброс пароля

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Неверный адрес электронной почты в Django Сброс пароля

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы