Я обнаружил форму утечки информации при использовании декоратора @login_required и установке переменной LOGIN_URL.
У меня есть сайт, который требует обязательного входа для всего контента. Проблема в том, что вы перенаправлены на страницу входа со следующей переменной, установленной, когда это существующая страница.
Так что когда не залогинен и спрашивает:
http://localhost:8000/validurl/
Вы видите это:
http://localhost:8000/login/?next=/validurl/
А при запросе несуществующей страницы:
http://localhost:8000/faultyurl/
Вы видите это:
http://localhost:8000/login/
Который раскрывает некоторую информацию, которую я не хочу. Я думал о переопределении метода входа в систему, принуждении next к пустому и вызове super в этом подклассовом методе.
Дополнительная проблема заключается в том, что некоторые из моих тестов не проходят без установки LOGIN_URL. они перенаправляют на «/ account / login /» вместо «/ login /». Поэтому я хотел бы использовать LOGIN_URL, но отключить функцию «авто следующий».
Кто-нибудь может пролить свет на эту тему?
Большое спасибо.
Gerard.