Django:使用不同的 cookie 集重新提交表单成功。这可能意味着该表单不包含任何 CSRF 反制措施

标签 django forms cookies csrf-protection

我分别登录A电脑和B电脑,从A电脑复制csrf,将B电脑的csrf换成A电脑的csrf,提交Form,提交成功。 我如何处理这种转换。

最佳答案

这是设计使然。 cookie CSRF token 和 POST CSRF token 之间的比较是服务器端检查,但它不针对任何存储的服务器端值。请记住,攻击者无法窃取用户浏览器的 CSRF cookie。 “窃取”或修改您自己的 token 不是漏洞。

关于Django:使用不同的 cookie 集重新提交表单成功。这可能意味着该表单不包含任何 CSRF 反制措施,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35007577/

上一篇:facebook-graph-api - 阅读整个 fb 广告帐户结构

下一篇:meteor - 更新用户角色的方法在使用 Collection2 包时出错

相关文章:

javascript - 如何更改js中已由php设置的cookie?

javascript - Django 中的弹出窗体(Jquery)

python - 模型字段 "verbose name"的使用

javascript - 根据按钮 ID 检测单选按钮的更改

Django:字段依赖

javascript - 在基本 JavaScript 和 PHP 教程中无法获取事件中断器来阻止表单提交正常工作

go - 在 cookie 名称上添加对分隔符的支持

javascript - 检查 cookie 是否存在 - Chrome 扩展

Django 休息 update_or_create

python - django 模型翻译 - 按翻译字段过滤

©2024 IT工具网  联系我们