我有一个关于Django CsrfViewMiddleware机制的问题.我知道,Django:
在每个请求上设置新的csrftoken cookie.
检查,比X-CSRFToken标头值(或隐藏输入"csrfmiddlewaretoken")必须等于csrftoken cookie.
但Django不检查令牌是否已被使用(例如来自CsrfViewMiddleware):
if not constant_time_compare(request_csrf_token, csrf_token): return self._reject(request, REASON_BAD_TOKEN)
所以我可以使用相同的令牌POST多个请求(我在我的服务器上测试它).
它是标准的行为,还是我的Django设置不正确?谢谢.