[Django] Page cache + CSRF/Cookies...

jens · Dienstag 13. September 2011, 08:27

Eine Django settings kann z.B. so aussehen:

MIDDLEWARE_CLASSES = (
    'django.middleware.cache.UpdateCacheMiddleware',
...
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
...
    'django.middleware.cache.FetchFromCacheMiddleware',
)
CACHE_MIDDLEWARE_ANONYMOUS_ONLY = True

Das dumme dabei: Der cache wird relativ ineffizient, weil quasi pro User gecached wird

Denn die SessionMiddleware und die CsrfViewMiddleware machen patch_vary_headers(response, ('Cookie',))
Das bewirkt ja, das der Cookie in den cache key eingebunden wird. Somit wird pro User einzeln gecached. Das ist aber eigentlich nicht wirklich notwendig.

Was also tun?

Eine Lösung wäre doch, nicht den Cookie beim cache key einbinden und beim Cachen der Seite den Cookie herausnehmen. Wird ein Response aus dem Cache genutzt, dann den Cookie wieder einfügen...

In meinem Falle wäre eine Möglichkeit, nicht UpdateCacheMiddleware und FetchFromCacheMiddleware zu nutzten und tiefer im System die Seite cachen und den Cache nutzten.

Wie macht ihr das?

jens · Dienstag 13. September 2011, 11:32

Ich spiele in einem test brach gerade mit der folgenden Idee:

Im Grunde wird auch die gesamte Seite (sprich das komplette response Objekt) gecached, aber die cookies werden vorher gelöscht. So braucht man nicht die cookies im Cache auf zu nehmen...

Das passiert im Grunde damit:

Code: Alles auswählen

    def process_response(self, request, response):
        ...
        cache_key = request.path

        cookies = response.cookies.copy() # Store the cookies from current user
        response.cookies.clear() # Don't cache any cookies
        cache.set(cache_key, response)
        response.cookies = cookies # Restore the cookies from the current user
        return response

Ich weiß aber nicht genau, ob das alles Nebenwirkungsfrei ist. Wenn es so einfach lösbar ist, warum wird es dann nicht in Django gemacht?

jens · Donnerstag 20. Oktober 2011, 15:46

Jemand ist auf das selbe Problem gestoßen: https://groups.google.com/d/msg/django- ... iNJsARF4IJ
Mal sehen was daraus wird

Meine Lösung mit einer eigenen middleware ist in 'master' angekommen: https://github.com/jedie/PyLucid/blob/m ... s/cache.py

apollo13 · Freitag 21. Oktober 2011, 22:59

jens hat geschrieben:Ich weiß aber nicht genau, ob das alles Nebenwirkungsfrei ist. Wenn es so einfach lösbar ist, warum wird es dann nicht in Django gemacht?

Nein ist es nicht, stichwort CSRF-Token und spaß wie anon vs logged in user… Willkommen in der Welt von Http -- Caching in der Form geht einfach nicht…