文档有解释here ,但我还有一些其他问题..
为什么需要专用的 CSRF cookie?
如果 Django 不使用特定于事务的随机数,为什么不只要求在 POST 请求正文中嵌入 session ID?
为什么 CSRF 随机数应该绑定(bind)到 session ID? Django 会这样做吗?
This webpage似乎暗示 CSRF nonce 需要绑定(bind)到 session ID(例如 CSRF nonce = keyed hash of session ID)。这是为什么? Django 是否将其 CSRF 随机数绑定(bind)到 session ID?
为什么 Django 使用独立于 session 的随机数而不是特定于事务的随机数?
是因为性能问题吗?直觉上,交易特定的随机数似乎本质上更安全。
最佳答案
CSRF 保护和 session 具有不同的性质,因此将它们放在单个 cookie 中会使其更难维护。
以下是一些区别:
关于django - 关于 Django 的 CSRF 保护问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6066404/