Django CSRF Coo??kie – 为什么它不会在浏览器关闭时到期?
Django允许您指定会话在浏览器关闭时到期(对Chrome有一些警告).为什么不为CSRF cookie做到这一点?
我问,因为在我看来,CSRF令牌容易被泄露(例如,错误地将其放入到外部站点的帖子中),这将是一种缓解.我误会了什么吗? 解决方法
我将从Carl链接的开发人员列表中重新发布我的答案,以便stackoverflow也有:
如果cookie设置为在浏览器关闭时到期,则会导致CSRF Django的CSRF实现与存储的许多其他实现不同[1] 如果担心攻击者可以访问用户的物理 尽管如此,如果可以令人信服地证明设置cookie [1] Django的CSRF实现通常会引发各种错误大多数笔测试工具中的警报,因为它不能正常工作与其他实现相同的方式,并且不依赖于会话曲奇饼. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |