【发布时间】:2010-12-01 21:42:20
【问题描述】:
我正在我的网站上测试 CSRF 保护,我发现了一些意外情况。
我从表单中删除了{% csrf_token %},提交仍然有效。我不知道为什么。然后我查看了源代码并意识到令牌仍然在<form> 元素旁边。我更改了表单的 ID,以确保它确实在更新源,但隐藏的输入仍然存在。
我正在使用 Django 1.2。 {% csrf_token %} 还需要吗?
干杯
丰富
【问题讨论】:
-
经过更多调查,如果表单具有“post”方法,则始终插入 {% csrf_token %},如果没有,则不会插入。非常聪明的姜戈。自动保护。
-
将其作为答案发布并接受(您可能需要等待 24 小时才能接受自己的答案)。