Django 是否安全 csrf 中间件令牌出现在 url 中?
Django is it safe csrf middleware token shows up in url?
发出 GET 请求时,我注意到我的 csrf 令牌附加到我的 url。这样安全吗?
Django 不检查 GET 请求的 CSRF 令牌。如果您有任何带有 method="get" 的表单,您应该删除 {% csrf_token %} 标签。
在执行此操作时,仔细检查 GET 请求是否没有副作用(即它们不会更改任何数据)。如果不是,则保留 CSRF 令牌并将 view/form 更改为使用 POST 请求。
如果 CSRF 令牌包含在 URL 中,那么它可能存储在某个地方,例如服务器日志。如果攻击者获得了令牌,那么他们就可以使用它来绕过 Django 的 CSRF 保护。
有关详细信息,请参阅 Django CSRF docs。
发出 GET 请求时,我注意到我的 csrf 令牌附加到我的 url。这样安全吗?
Django 不检查 GET 请求的 CSRF 令牌。如果您有任何带有 method="get" 的表单,您应该删除 {% csrf_token %} 标签。
在执行此操作时,仔细检查 GET 请求是否没有副作用(即它们不会更改任何数据)。如果不是,则保留 CSRF 令牌并将 view/form 更改为使用 POST 请求。
如果 CSRF 令牌包含在 URL 中,那么它可能存储在某个地方,例如服务器日志。如果攻击者获得了令牌,那么他们就可以使用它来绕过 Django 的 CSRF 保护。
有关详细信息,请参阅 Django CSRF docs。