【发布时间】:2011-05-12 13:02:55
【问题描述】:
我对 django 中的令牌有点问题。
当我写一个 POST 表单并添加 {{csrf_token}} 时,当我提交它时,会检查令牌。
但是当我发送 POST 请求(在 ajax 中)并手动添加参数 csrfmiddlewaretoken 时,不会检查令牌。
但我不知道为什么?
谢谢。
【问题讨论】:
【发布时间】:2011-05-12 13:02:55
【问题描述】:
AJAX 请求不检查 CSRF:浏览器的同源策略意味着 CSRF 攻击要困难得多。见the explanation in the docs。
【讨论】:
-
好的,但是如果我使用旧的浏览器,Ajax Cross Domain 可以工作,不是吗?
-
没有。新的浏览器在某些有限的情况下放宽了同源政策:旧的浏览器是严格的。
-
好的,谢谢。但是,你知道在未来的 django 版本中是否有任何计划来检查它,因为我们的浏览器允许它?