Nano Hash - криптовалюты, майнинг, программирование

DJANGO + SAML2 + CSRF

Мне нужно ввести аутентификацию SAML2 в свой проект Django.

В моем базовом приложении используется токен CSRF, который предоставляется декоратором @ensure_csrf_cookie на главной странице.

Для реализации SAML я добавил новую кнопку входа на главную страницу (ту, которая устанавливает файл cookie se csrf token). Кнопка отправить запрос SAML к IDP. Когда я возвращаюсь из IDP на целевую страницу (представление в суб-приложении saml2, которое читает ответ), я получил ошибку 403 Forbidden о токене CSRF.

Я использую библиотеку Python OneLogin (python3-saml). https://github.com/onelogin/python3-saml

Целевая страница заканчивается на:? Acs

Я хочу знать, связана ли проблема с моей целевой страницей или ответ IDP каким-то образом с токеном csrf.

введите описание изображения здесь

Спасибо.

ПРИМЕЧАНИЕ. Я также попытался добавить домен IDP в настройку CSRF_TRUSTED_ORIGINS.

django saml-2.0
03.09.2020

Ответы:


1

Вероятно, вам нужно будет пометить представление возврата SAML как @csrf_exempt, поскольку IDP не знает, как передать токен CSRF, специфичный для Django.

03.09.2020
  • Ага. Мне пришлось использовать этот чит, потому что нет возможности получить ответ SAML с моим токеном csrf. 03.09.2020
  • Это не чит, особенно с учетом того, что механизм SAML все равно будет проверять полезную нагрузку SAML. Для сайта, который может выполнять межсайтовые запросы, нет возможности создать полезную нагрузку SAML, которая также прошла бы эту проверку. 03.09.2020
    • Новые материалы
    Кластеризация: более глубокий взгляд
    Кластеризация — это метод обучения без учителя, в котором мы пытаемся найти группы в наборе данных на основе некоторых известных или неизвестных свойств, которые могут существовать. Независимо от..
    Как написать эффективное резюме
    Предложения по дизайну и макету, чтобы представить себя профессионально Вам не позвонили на собеседование после того, как вы несколько раз подали заявку на работу своей мечты? У вас может..
    Частный метод Python: улучшение инкапсуляции и безопасности
    Введение Python — универсальный и мощный язык программирования, известный своей простотой и удобством использования. Одной из ключевых особенностей, отличающих Python от других языков, является..
    Как я автоматизирую тестирование с помощью Jest
    Шутка для победы, когда дело касается автоматизации тестирования Одной очень важной частью разработки программного обеспечения является автоматизация тестирования, поскольку она создает..
    Работа с векторными символическими архитектурами, часть 4 (искусственный интеллект)
    Hyperseed: неконтролируемое обучение с векторными символическими архитектурами (arXiv) Автор: Евгений Осипов , Сачин Кахавала , Диланта Хапутантри , Тимал Кемпития , Дасвин Де Сильва ,..
    Понимание расстояния Вассерштейна: мощная метрика в машинном обучении
    В обширной области машинного обучения часто возникает необходимость сравнивать и измерять различия между распределениями вероятностей. Традиционные метрики расстояния, такие как евклидово..
    Обеспечение масштабируемости LLM: облачный анализ с помощью AWS Fargate и Copilot
    В динамичной области искусственного интеллекта все большее распространение получают модели больших языков (LLM). Они жизненно важны для различных приложений, таких как интеллектуальные..