Django CSRF Coo??kie – 为什么它不会在浏览器关闭时到期？

如果cookie设置为在浏览器关闭时到期,则会导致CSRF
关闭浏览器的用户的错误(或使用
在它上面的形式)然后从浏览器缓存加载该页面
提交了表格.我对这个用例是否存在矛盾
值得支持(例如,在移动设备上可能很重要),
但我不认为将cookie设置为在浏览器关闭时到期
为其他正确配置提供了很多安全性好处
网站(HTTPS,HSTS等).

Django的CSRF实现与存储的许多其他实现不同[1]
CSRF信息以及服务器上的会话信息. CSRF
机制函数通过匹配表单中提供的令牌与
令牌在浏览器中作为cookie提供.如果您将cookie设置为
‘zzz’,它仍然能很好地运作.安全来自
攻击者无法设置cookie的事实,而不是它发生的事实
包含任何特定的加密值.

如果担心攻击者可以访问用户的物理
会话之间的计算机和窃取CSRF令牌,将其设置为过期
在浏览器关闭时不会阻止攻击者插入cookie
将在下一个会话期间使用的已知值.我不是
确信我们可以保护计算机用户的令牌
由攻击者物理访问.

尽管如此,如果可以令人信服地证明设置cookie
在浏览器关闭时到期不会破坏现有的用例(移动
浏览器是我的主要关注点)我愿意改变默认值
行为.如果有任何非恶意用户,我们通常认为这是一个错误
通过无辜的行为,可以触发CSRF警告.

[1] Django的CSRF实现通常会引发各种错误大多数笔测试工具中的警报,因为它不能正常工作与其他实现相同的方式,并且不依赖于会话曲奇饼.