<meta> http-equiv安全吗？

Question

如果访问者没有经过身份验证，并且希望访问受保护的页面，我希望将他重定向到登录页面。我可以通过后端代码来处理这个问题，但是使用HTML更容易。我的问题是:在我的情况下使用元http-equiv安全吗？

{% block body %}

  {% if user.is_authenticated %}
    <meta http-equiv="REFRESH" content="0;url={{ BASE_URL }}">

  {% else %}
    <form method="post" action="." class="form-horizontal" role="form">
      {% csrf_token %}
      {{ form|crispy }}
      <input type="submit" id="btn-login" class="btn btn-success" value="Login">
      <input name="next" type="hidden" value="{{next}}">
    </form>
  {% endif %}


{% endblock %}

Answer 1

您应该使用302响应重定向请求，或者在后端转发页面。

您不能确定<meta http-equiv="REFRESH" ...>实际上是在浏览器中执行的。可能有一些浏览器不支持它，甚至还有一些浏览器加载项可以阻止这样的元操作：铬自动回收器。

除此之外，<meta http-equiv="REFRESH" ...>被废弃了，不应该再使用我了(W3C)。

如果您想无论如何使用它，您必须确保您没有为未经身份验证的请求公开任何数据。