没有电子邮件的用户无法使用Django的评论框架发表评论

时间:2012-03-30 17:02:17

标签: python django django-templates django-comments

我已经用我自己的

覆盖了评论框架的form.html模板 
{% load comments i18n %}
<form action="{% comment_form_target %}" method="post">{% csrf_token %}
    <div><input type="hidden" name="next" value="{{ request.get_full_path }}" /></div>

    {% for field in form %}
        {% if field.is_hidden %}
            <div>{{ field }}</div>
        {% else %}
            {% if field.name != "name" and field.name != "url" and field.name != "email" %}
                {% if field.errors %}{{ field.errors }}{% endif %}
                <p
                    {% if field.errors %} class="error"{% endif %}
                    {% ifequal field.name "honeypot" %} style="display:none;"{% endifequal %}
                >
                    {{ field.label_tag }}<br />
                    {{ field }}
                </p>
            {% endif %}
        {% endif %}
    {% endfor %}

    <p class="submit">
        <input type="submit" name="post" class="submit-post" value="{% trans "Post" %}" />
    </p>
</form>

它几乎只渲染所需的隐藏字段(用于安全性)和注释字段。所有comment.user都会自动设置为当前登录用户request.user。这是呈现的HTML:

<form action="/comments/post/" method="post"><div style='display:none'><input type='hidden' name='csrfmiddlewaretoken' value='bd05094c2e3ba80e1fbec8a4237b132c' /></div>
    <div><input type="hidden" name="next" value="/doors/orders/1/" /></div>
    <div><input type="hidden" name="content_type" value="doors.order" id="id_content_type" /></div>
    <div><input type="hidden" name="object_pk" value="1" id="id_object_pk" /></div>
    <div><input type="hidden" name="timestamp" value="1333125894" id="id_timestamp" /></div>
    <div><input type="hidden" name="security_hash" value="c6791aafdd682cd8db5595681073c9a21c5fe7dd" id="id_security_hash" /></div>
    <p>
        <label for="id_comment">Comment</label><br />
        <textarea id="id_comment" rows="10" cols="40" name="comment"></textarea>
    </p>
    <p style="display:none;" >
        <label for="id_honeypot">If you enter anything in this field your comment will be treated as spam</label><br />
        <input type="text" name="honeypot" id="id_honeypot" />
    </p>
    <p class="submit">
        <input type="submit" name="post" class="submit-post" value="Post" />
    </p>
</form>

问题是我注意到如果登录用户没有电子邮件,则评论会转到preview.html(我没有覆盖)。这是截图:

这是一个安全问题,因为它允许有人在发布之前更改其名称而不是使用登录用户的名称(当我列出评论时,我使用comment.user.get_full_name代替comment.name所以它不是这是一个问题,但在管理页面上可能仍会令人困惑。

所以我的问题是:

  1. 如何允许没有电子邮件的用户发表评论?
  2. 如何允许表单转到preview.html
  3. 到目前为止,我的代码和设计是否很好?

1 个答案:

答案 0 :(得分:0)

好吧,您可以使用customization文档创建一个处理评论框架评论的自定义应用程序。您应在设置文件中设置COMMENTS_APP = 'my_comment_app',并在应用的get_form()中指定__init__.py方法,该方法应返回您的自定义表单。

自定义表单应基于contrib.comments.forms.CommentForm,看起来应该是这样的:

class CustomForm(comment_forms.CommentForm):
    def __init__(*args, **kwargs):
        super(CustomFors, self).__init__(*args, **kwargs)
        self.fields["email"].required = False
呈现

preview.html因为表单包含错误(需要emai,但是用户没有它,所以它没有填充)。如果没有错误 - 将不会显示预览。

相关问题
最新问题