Pažljivo s nadogradnjom na Django 1.2.5 i 1.1.4

programiranjesigurnostweb

Nove inačice Djanga (1.2.5 i 1.1.4) donose sigurnosne zakrpe ali mogle bi vam stvoriti probleme ukoliko ste se naviknuli na to da su AJAX pozivi izuzeti od CSRF provjere. Django sada provjerava CSRF na svim zahtjevima pa bi se moglo dogoditi da vaša ajaxolika aplikacija odjednom prestane raditi nakon nadogradnje. django CMS je već izdao nadogradnju koja rješava taj problem.


Umjesto isključivanja CSRF provjere bolje se odlučiti na doradu aplikacije prema novim sigurnosnim standardima. Django prihvaća CSRF token iz zaglavlja zahtjeva pa je najjednostavnije i najbrže rješenje da u njega dodate X-CSRFToken kao što je navedeno u objavi nadogradnje.