В документации есть объяснение здесь , но у меня возникли дополнительные вопросы ..
Если Django не использует специфические для транзакции одноразовые номера, почему бы просто не потребовать встраивать идентификатор сеанса в тело запроса POST?
Эта веб-страница , похоже, подразумевает, что одноразовый номер CSRF должен быть привязан к идентификатору сеанса (например, CSRF nonce = хэш идентификатора сеанса с ключом). Это почему? Связывает ли Django одноразовое значение CSRF с идентификатором сеанса?
Это связано с проблемой производительности? Интуитивно одноразовые номера, специфичные для транзакции, кажутся более безопасными по своей природе.