django - Django密码重置中的无效电子邮件
问题描述
我正在实施 Django Password Reset 以在用户使用 django.contrib.auth.urls 键入他/她的电子邮件 ID 时发送恢复密码链接,这非常有效。
这是来自 Django 文档,
如果提供的电子邮件地址在系统中不存在、用户处于非活动状态或密码不可用,用户仍将被重定向到此视图但不会发送电子邮件。
我的问题是,
如果我添加类似 EmailValidation 的内容来检查用户输入的电子邮件是否存在于数据库中并引发 ValidationError,这会是一个安全问题吗?
解决方案
显然,因为它会允许黑客使用蛮力来猜测电子邮件。如果用户的密码强度不够强,他可能会使用暴力破解或猜测来强制登录(如果没有其他安全方法)。我建议在重置页面上也放置一个验证码,以防止机器人进入重置密码页面。
推荐阅读
- python-3.x - 对 10 张图像应用 VGG16 但得到值错误
- c# - 为 DataTemplate 内的新 Grid 列的外观设置动画
- vue.js - Vue 3.0:将给定对象传递给 View
- machine-learning - 默认情况下总是标准化所有功能是一个坏主意吗?
- php - 我如何将参数从视图传递到控制器
- c - 带有结构的C中的分段错误11?
- substr - 使用 parse 命令截断 AWS 日志
- neo4j - 如何在 .Net 客户端中使用 ForEach
- python - 如何使用 Python 和图像处理删除掩码中的条目?
- java - 如何将 Apache Ignite 瘦客户端连接到 Apache Ignite 集群?