我分别登录A电脑和B电脑,从A电脑复制csrf,将B电脑的csrf换成A电脑的csrf,提交Form,提交成功。 我如何处理这种转换。
最佳答案
这是设计使然。 cookie CSRF token 和 POST CSRF token 之间的比较是服务器端检查,但它不针对任何存储的服务器端值。请记住,攻击者无法窃取用户浏览器的 CSRF cookie。 “窃取”或修改您自己的 token 不是漏洞。
关于Django:使用不同的 cookie 集重新提交表单成功。这可能意味着该表单不包含任何 CSRF 反制措施,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35007577/