Django

Bảo mật Django

CSRF protection, XSS prevention, SQL injection, clickjacking, HTTPS, security middleware, các phương pháp tốt nhất

22 câu hỏi phỏng vấn·
Mid-Level
1

Mục đích chính của token CSRF trong Django là gì?

Câu trả lời

Token CSRF bảo vệ chống lại các cuộc tấn công Cross-Site Request Forgery, trong đó một trang web độc hại gửi yêu cầu thay mặt cho người dùng đã xác thực. Django tạo một token duy nhất cho mỗi phiên và xác minh sự hiện diện của nó trong các biểu mẫu POST. Điều này ngăn kẻ tấn công giả mạo yêu cầu vì chúng không thể đoán được token ngẫu nhiên.

2

Làm thế nào để bao gồm token CSRF trong một biểu mẫu Django?

Câu trả lời

Thẻ template csrf_token tự động tạo một trường hidden chứa token CSRF. Nó phải được đặt bên trong thẻ form cho các yêu cầu POST. Django sau đó xác minh token này thông qua middleware CsrfViewMiddleware. Nếu không có thẻ này, biểu mẫu sẽ bị từ chối với lỗi 403 Forbidden.

3

Decorator nào cho phép miễn trừ một view khỏi việc kiểm tra CSRF?

Câu trả lời

Decorator csrf_exempt vô hiệu hóa bảo vệ CSRF cho một view cụ thể. Nó hữu ích cho các endpoint API bên ngoài không thể cung cấp token CSRF. Tuy nhiên, việc sử dụng nó nên được hạn chế vì nó khiến view bị phơi bày trước các cuộc tấn công CSRF. Đối với API, nên dùng xác thực dựa trên token.

4

Django tự động bảo vệ chống lại các cuộc tấn công XSS trong template như thế nào?

5

Bộ lọc template nào cho phép hiển thị nội dung HTML chưa được escape trong Django?

+19 câu hỏi phỏng vấn

Nắm vững Django cho lần phỏng vấn tiếp theo

Truy cập tất cả câu hỏi, flashcards, bài kiểm tra kỹ thuật, bài tập code review và mô phỏng phỏng vấn.

Bắt đầu miễn phí