Versões do Datasette anteriores à 0.46

O formulário HTML para uma consulta pré-definida somente leitura no Datasette inclui um campo oculto para o token CSRF. Quando esse formulário é enviado, o token CSRF fica exposto na URL. Por exemplo, enviar o formulário em https://latest.datasette.io/fixtures/neighborhood search resulta em uma URL como https://latest.datasette.io/fixtures/neighborhood search?text=down&csrftoken=CSRFTOKEN-HERE. Esse token poderia vazar para um invasor se a página resultante contivesse um link para um site externo e o usuário clicasse no link, já que o token ficaria exposto nos logs de referência.

Para versões anteriores à 0.46, atualize para o Datasette 0.46 para corrigir o problema.

Como solução alternativa temporária para instâncias do Datasette sem atualização, copie o modelo query.html da versão 0.46 para um diretório templates/ personalizado e execute o Datasette com a opção --template-dir=templates/.