django csrf令牌在每个请求中都必须是唯一的吗?

 神秘的穿越火线99_628 发布于 2022-12-25 16:56
  • django
  • csrf
  • view
  • token
  • cookie
  • const

    • 我有一个关于Django CsrfViewMiddleware机制的问题.我知道,Django:

      在每个请求上设置新的csrftoken cookie.

      检查,比X-CSRFToken标头值(或隐藏输入"csrfmiddlewaretoken")必须等于csrftoken cookie.

    但Django不检查令牌是否已被使用(例如来自CsrfViewMiddleware):

    if not constant_time_compare(request_csrf_token, csrf_token):
            return self._reject(request, REASON_BAD_TOKEN)

    所以我可以使用相同的令牌POST多个请求(我在我的服务器上测试它).

    它是标准的行为,还是我的Django设置不正确?谢谢.

    撰写答案
    今天,你开发时遇到什么问题呢?
    立即提问
    热门标签
    PHP1.CN | 中国最专业的PHP中文社区 | PNG素材下载 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
    Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有