Tag Archives: Django

从某月开始，公司SSO回传信息改用POST方式，放弃了之前的通过querystring传递的做法。具体到Sentry这里，因为 /auth/sso 页面受CSRF保护，拒绝接受POST回来的不含CSRF token的数据，从而无法登录。 解决这个问题，可能有三种方法吧： 让SSO回传csrf token：前提是得先把csrf token发给SSO，且SSO方愿意配合修改。考虑到现在跳转到SSO去是直接302的，CSRF如果放在querystring上，其实和他们回传时把token放在querystring上风险相当了，所以这做法不行 Sentry/auth/sso不验证CSRF：/auth/sso 对应AuthProviderLoginView，该View继承自BaseView，而BaseView的dispatch()方法是@method_decorator(csrf_protect)过的，因为还有其它很多View都这么继承，想改基类还怕有别的风险。想在配置文件里monkey patch掉AuthProviderLoginView，但是import sentry.auth.helper的时候就失败了 Sentry整体不验证CSRF：试了试，csrf view middleware可以去掉，但是，csrf_protect decorator依然生效。关于此处，django文档说的不太精确。该middleware除了负责种cookie，还负责验证，但实际上验证工作并不是以middleware的身份来做的，而是以decorator的身份来做的。单单禁止middleware的加载只是去掉了种cookie的行为而已。网上也有其他人遭遇过这个问题 http://www.douban.com/group/topic/11555679/ 最后，参照3里帖子的做法，做了一个django middleware插在csrf view middleware前面，如当前请求URI为/auth/sso/ 就取消CSRF保护。