Question

假设您要格式化您的网址，以便您可以使用Ajax对请求进行直接模型查询。

在Django中进行查询：

MyModel.objects.get(id=4)

使用Ajax ：

通过请求对url进行查询

/ajax/my-model/get/id/4/

问题在于这会带来巨大的安全问题，任何知道如何通过Ajax发出请求的用户都可以通过识别url对应于特定模型的查询来查询数据库。但是，如果这些查询可以变得安全，那么它将允许更加结构良好/可重复使用的客户端代码imo。

但我根本看不出这是如何安全的。我只是想确定这种怀疑是否正确。

Answer 1

永远不要相信来自客户的输入。我认为这是Web开发中的一般规则，适用于客户端的任何请求。我想你在这里有几个选择：

使用Django's internal Authorization mechanism。这不是身份验证！像这样，您可以限制仅供特定用户访问的资源。另请查看reusable django apps，这似乎会使该主题更加复杂。
验证来自客户端的每个输入。这主要是针对应该更改数据的请求。
使用像django-tastypie或django-restframework这样的API框架，它们可以轻松插入您的模型，并提供开箱即用的身份验证和授权。

Answer 2

在Django中，此类视图将受其身份验证机制的保护。可以设计视图，这样它只允许特定用户查询特定查询。