我想知道CSRF生成的默认Django策略是什么?它们是按页面还是按会话创建的?如果是每次会话,为什么要选择它?它是否不如每页CSRF安全?
它们是按页面还是按会话创建的?
我认为是每节课。
来自Django's official documentation:
基于随机秘密值的CSRF cookie,其他站点将无法访问。
此Cookie由CsrfViewMiddleware设置。如果尚未在请求中设置django.middleware.csrf.get_token()(内部用于检索CSRF令牌的函数),则会将其与每个响应一起发送。
为了防止遭到BREACH攻击,令牌不仅是秘密;随机盐撒在秘密上,并用来加扰。
出于安全原因,每次用户登录时,机密的值都会更改
如果是每次会话,为什么要选择它?它是否不如每页CSRF安全?
我可能想到的某些原因: