每个 API 请求都需要 JWT token ,我是否应该保留 CSRF 保护?当然,考虑到没有人可以访问其他人的 jwtoken。
如果是,我如何获取 csrf token ,因为我不使用 django 模板(我单独使用 Vue)。
如果没有,是否可以从设置中完全删除 CSRF 中间件?
提前致谢。
最佳答案
如果您将 JWT 存储在 localStorage 中,则不会受到 CSRF 的攻击,因为 localStorage 无法跨域访问。但是,您应该意识到,关于将 JWT 保留在 localStorage 中是否明智存在争议,因为如果您成为 XSS 的受害者,它可能会被盗。另一种方法是将 token 存储在 httpOnly cookie 中,在这种情况下,您必须使用 CSRF 保护。
关于vue.js - 使用 Django Rest Framework JWT 时处理 CSRF token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52454197/