Datasette ersetzt CSRF-Token durch Header-basierte Sicherheit
Simon Willison hat in Datasette die traditionelle CSRF-Token-Authentifizierung durch einen moderneren Ansatz basierend auf Sec-Fetch-Site-Headern ersetzt. Diese Änderung vereinfacht die Entwicklung erheblich, da keine versteckten Token-Felder mehr in Formularen benötigt werden.
Einordnung
Diese Änderung ist ein wichtiger Fortschritt für Datasette-Entwickler, da sie die CSRF-Schutz-Implementation erheblich vereinfacht. Der neue Ansatz, inspiriert von Filippo Valsordas Forschung und bereits in Go 1.25 implementiert, eliminiert die Notwendigkeit, CSRF-Token manuell in Formulare einzufügen und selektiv für APIs zu deaktivieren. Dies reduziert die Entwicklungskomplexität und das Fehlerrisiko.
Interessant ist auch der Hinweis auf AI-gestützte Programmierung: Claude Code erledigte einen Großteil der Arbeit über 10 Commits, während Willison die Führung übernahm und GPT-5.4 für Code-Reviews einsetzte. Dies zeigt einen praktischen Workflow für größere Refactoring-Projekte mit KI-Unterstützung, wobei menschliche Oversight und Qualitätskontrolle zentral bleiben.