django使用链接或表单注销，以防止csrf漏洞利用

Question

在阅读djangobook chapter的时候，我偶然看到一段提到csrf漏洞的文章，其中一个注销链接被放在一个隐藏的恶意网站中。

在我使用django创建的web应用程序中，我使用了类似的注销链接

base.html：

<a  href="{% url my_logout %}" > Logout </a>

my_logout url指向django.contrib.auth.views.logout_then_login的位置

urlpatterns=patterns('django.contrib.auth.views',
url(r'^logout/$', 'logout_then_login', {}, name = 'my_logout'),
)

现在，在阅读了csrf攻击后，我担心恶意网站会给我带来麻烦too.So，我想使用一个表单来做注销。

我想我可以这样做

base.html：

    ...

    <form method="post" action=".">{% csrf_token %}
        <input type="hidden" name="next" value="{{next}}" />
        <input type="hidden" name="confirm" value="true" />
        <input type="submit" value="Logout" />
    </form>
...

现在，我应该如何编写处理这个表单的视图呢?如果我要处理隐藏的变量(使用confirm检查是否应该注销，使用next则转到上一个视图)，我是否仍然可以使用django.contrib.auth.views.logout_then_login方法？

有没有人能告诉我，我这样做是不是正确？

提前感谢

Answer 1

你可以把它包装成这样

from django.views.decorators.cache import never_cache
from django.views.decorators.csrf import csrf_protect
from django.views.decorators.http import require_POST

@csrf_protect
@require_POST
@never_cache
def safer_logout(request):
    # 'confirm' is useless here, POST implies 'do it'
    return logout_then_login(request, request.POST.get('next'))

另外，考虑使用SESSION_COOKIE_HTTPONLY