메커니즘에 대한 이해를 django
에 적어 두었습니다. 문제가 있다면 제게 알려주십시오.django의 csrf와 CSRFCookie의 숨겨진 필드
csrfViewMiddleware
는 host.Since에서이 필드의 값에 대해 알 수 없습니다이 양식을 흉내 낸 악의적 인 웹 사이트를 원래 형태의 'csrfmiddlewaretoken'숨겨진 필드에 고유 한 문자열 저장을 만들고, 그것을 사용할 수 없습니다.
누군가가 양식을 게시하려고 시도하면 웹 사이트에서 'csrfmiddlewaretoken
'필드와 그 값을 확인합니다. 잘못되었거나 설정되지 않은 경우 csrf 시도가 감지됩니다.
그렇다면 정확히 CSRFCookie
은 무엇입니까? The doc은 CSRFCookie
및 hidden field
에 고유 값이 설정되어 있다고 말합니다.이 부분이 혼란 스럽습니다. 고유 한 문자열이 포함 된 브라우저로 쿠키가 전송됩니까?
장고는 인증 된 사용자 쿠키에 저장되어있는 CSRF 토큰을 할당합니다
는
그래서 인증 된 사용자의 브라우저에서만이 토큰을 받지만 사이트를 방문하는 모든 사람이 아닙니다. 맞습니까? – damon
Django가 정확하게 처리하는 방법을 모르는 경우 - 인증 상태에 관계없이 모든 사용자를 보호 할 수 있습니다. 기본적으로 앱의 일부 기능을 변경할 수있는 모든 작업에는 CSRF 보호 기능이 있어야합니다. – Todd