Django REST框架:空ListView上的顶级JSON数组是否存在安全风险?
Django REST框架在查询没有任何对象的ListView时返回一个看似空的数组。这是一种安全风险吗?基于OWASP建议,但这似乎只是本文讨论的旧浏览器中的一个漏洞 不过,如果可能的话,最好遵循OWASP安全建议返回嵌套在对象中的列表 对于Django DRF的通用ListModelMixin视图,如果包含所有分页设置,它将返回一个具有分页属性的对象,该对象的列表位于Django REST框架:空ListView上的顶级JSON数组是否存在安全风险?,json,django,security,django-rest-framework,Json,Django,Security,Django Rest Framework,Django REST框架在查询没有任何对象的ListView时返回一个看似空的数组。这是一种安全风险吗?基于OWASP建议,但这似乎只是本文讨论的旧浏览器中的一个漏洞 不过,如果可能的话,最好遵循OWASP安全建议返回嵌套在对象中的列表 对于Django DRF的通用ListModelMixin视图,如果包含所有分页设置,它将返回一个具有分页属性的对象,该对象的列表位于结果属性下 # settings.py REST_FRAMEWORK = { ... 'DEFAULT_PA
结果
属性下
# settings.py
REST_FRAMEWORK = {
...
'DEFAULT_PAGINATION_CLASS': 'rest_framework.pagination.PageNumberPagination',
'PAGE_SIZE': 20,
}
那么它还应该返回什么呢?有两种情况是有意义的:一个空列表,或者一个404,但实际上它们都说明了完全相同的事情。我不是在问什么是有意义的。我想问ListView返回的顶级JSON数组是否存在安全风险。我这样问是因为我认为空数组是有意义的,我想确保我不会被黑客攻击。
# API response body
{
"count": 12,
"next": null,
"previous": null,
"results": [
...
]
}