我的前端时jquery,后端是django。我用django自带的auth验证系统授权访问页面。在使用中发现了一个漏洞:
我有2个页面,“ip/a/ “和 “”ip/b/“”,都在views的index函数中定义(判断a或者b的值后流转)。
我打开a页面后,再打开b页面,然后因为没操作用户被自动注销。这时我点击浏览器(谷歌)的后退按键,回到了a页面,
a页面有很多ajax应用,点击页面发送请求的按钮,这些ajax居然都是正常的!!
我的ajax都是以路由的方式映射到后台的view的对应函数,如下:
path('ajax_rio/', views.ajax_rio,name='ajax_rio'),
path('ajax_stock_mv/', views.ajax_stock_mv,name='ajax_stock_mv'),
path('ajax_stock_R_D_bend/', views.ajax_stock_R_D_bend,name='ajax_stock_R_D_bend'),
path('ajax_stock_risk/', views.ajax_stock_risk,name='ajax_stock_risk'),
请问:我应当在每个ajax函数前加上@login_required装饰器来限制吗?还有没有更好的办法?
