我完全不同意。TLS非常有用。应谨慎使用,就像全局变量应谨慎使用一样。但是说根本不应该使用它就像说永远不应该使用全局变量一样荒谬。
例如,我将当前活动的请求存储在TLS中。这使得它可以从我的日志记录类访问,而不必通过每个接口传递请求-
包括许多根本不关心Django的接口。它使我可以从代码中的任何位置进行日志记录。记录器将输出到数据库表,如果在创建日志时碰巧一个请求处于活动状态,它将记录活动用户和所请求的内容。
如果您不希望一个线程具有修改另一个线程的TLS数据的功能,则将TLS设置为禁止此 *** 作,这可能需要使用本机TLS类。但是,我认为该论点没有说服力。如果攻击者可以执行任意Python代码作为您的后端,则您的系统已经受到致命威胁-
例如,他可以猴子修补任何内容,以便稍后以其他用户身份运行。
显然,您将需要在请求结束时清除所有TLS。在Django中,这意味着在中间件类的process_response和process_exception中清除它。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)