タグ別アーカイブ: CSRF

Pyramidのセッション機能を使う(3)〜CSRF対策〜

PyramidのSessionFactoryを実装するさいにimplementが必要になるISessinインタフェースですが、ここではCSRF対策に関わる機能が規定されています。
CSRF対策に利用するトークンを発行する機能です。
=>トークンをどう使うかは実装者に委ねられています。当然ですが。

CSRFトークンの新規発行は以下のように行います。
token = request.session.new_csrf_token()

new_csrf_tokenメソッドによりトークンを発行します。
このとき、トークンがセッションに自動で格納されます。

発行済みのトークン取得するには以下のように、get_csrf_tokenメソッドを実行します。
token = request.session.get_csrf_token()

セッションに格納されている発行済トークンを取得します。
取得できなかった場合は、新規トークンを発行します。

続きを読む Pyramidのセッション機能を使う(3)〜CSRF対策〜