iplweb / bpp / 25304462969
65%

DEFAULT BRANCH: dev
Ran
Jobs 0
Files 0
Run time
Badge
Embed ▾
README BADGES
x

If you need to use a raster PNG badge, change the '.svg' to '.png' in the link

Markdown

Textile

RDoc

HTML

Rst
25304462969

push

github

mpasternak 
fix(security): remove unnecessary csrf_exempt from AJAX API endpoints

Usunięto csrf_exempt z 10 API endpointów używanych w Django admin:

- RokHabilitacjiView (api_rok_habilitacji)
- PunktacjaZrodlaView (api_punktacja_zrodla)
- UploadPunktacjaZrodlaView (api_upload_punktacja_zrodla)
- OstatniaJednostkaIDyscyplinaView (api_ostatnia_jednostka_i_dyscyplina)
- GetPubmedIDView (api_pubmed_id)
- GetPBNPublicationsByISBN (api_get_pbn_by_isbn)
- GetPBNPublicationsByDOI (api_get_pbn_by_doi)
- GetWoSAMRInformation (api_wos_amr)
- StronaTomNrZeszytuView (api_strona_tom_nr_zeszytu)
- ApiUzupelnijRokWydawnictwoZwarteView (api_uzupelnij_rok_wydawnictwo_zwarte)
- ApiUzupelnijRokWydawnictwoCiagleView (api_uzupelnij_rok_wydawnictwo_ciagle)

Dlaczego csrf_exempt był niepotrzebny:
- Django admin ma globalny $.ajaxSetup w templates/admin/base.html
- Automatycznie dodaje X-CSRFToken header do wszystkich AJAX requestów
- LoginRequiredMixin zapewnia autoryzację (user musi być zalogowany)

Nowy stack zabezpieczeń:
- ✅ LoginRequiredMixin - autoryzacja (wymaga zalogowania)
- ✅ CSRF protection przez X-CSRFToken header (automatyczne z $.ajaxSetup)
- ❌ csrf_exempt - usunięty (przywrócona pełna CSRF protection)

To przywraca poprawne CSRF protection dla AJAX API endpointów bez
psucia funkcjonalności - AJAX requesty z admina już mają CSRF token.

Powiązane: CODE_REVIEW_2026-05.md sekcja 1.2 (dokończenie)

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
Source Files on build 25304462969
Detailed source file information is not available for this build.