django csrf 令牌在每个请求上都必须是唯一的吗?

【问题标题】:Does django csrf token must be unique on every request?django csrf 令牌在每个请求上都必须是唯一的吗?
【发布时间】:2014-10-19 21:05:29
【问题描述】:

我有一个关于 Django CsrfViewMiddleware 机制的问题。 我知道,那个 Django:

  1. 为每个请求设置新的 csrftoken cookie。
  2. 检查,X-CSRFToken 标头值(或隐藏输入“csrfmiddlewaretoken”)必须等于 csrftoken cookie。

但 Django 不会检查令牌是否已经被使用(来自 CsrfViewMiddleware 的示例):

if not constant_time_compare(request_csrf_token, csrf_token):
            return self._reject(request, REASON_BAD_TOKEN)

所以我可以使用相同的令牌发布多个请求(我在我的服务器上进行了测试)。

这是标准行为,还是我的 Django 设置不正确? 谢谢。

【问题讨论】:

  • 标准。令牌不会被消耗,而只会在每次登录时刷新。
  • 知道了。 Germano,谢谢你的回答!

标签: python django django-csrf csrf-protection


【解决方案1】:

不消耗 CSRF 令牌。

详细说明 Germano 的评论,背后的原因很简单:

多个浏览器窗口/选项卡REST

本质上,Django 必须为过去呈现的每个页面创建(并持久化,并在分布式“云”部署中同步)新的 CSRF 令牌。从本质上讲,这很容易导致拒绝服务攻击,在这种攻击中,您无法假设 CSRF 有任何合理的到期时间。

【讨论】:

  • 所以解决办法是自己写一个中间件,里面会检查CSRF token的过期时间?
  • 不完全——你基本上不想为不同的视图或页面存储许多不同的 CSRF——否则,你创建了一种机制,你可以很容易地用大量​​的 CSRF 使数据库过载。
  • 我不明白这个问题。为什么要让令牌提前过期?
  • 目的是禁用两次post html表单。我在页面上有 javascript 检查,但我也想在服务器上添加检查。
  • @Germano,没有。例如,在网上商店用户下订单。当他单击“下订单”按钮时,POST 请求被发送到服务器。如果用户单击两次,将向服务器发送两个 POST 请求。我想防止这种情况发生。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2012-05-15
  • 2020-06-08
  • 2014-01-06
  • 2018-11-22
  • 1970-01-01
  • 2013-04-25
  • 2012-09-18
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode