Я записываю свое понимание механизма csrf protcetion
в django
. Пожалуйста, исправьте меня, если это неисправно.
csrfViewMiddleware
создает уникальную строку и сохраняет ее в скрытом поле «csrfmiddlewaretoken» формы, исходящей от хоста. Поскольку вредоносный веб-сайт, имитирующий эту форму, не будет знать о значении этого поля, он не может его использовать.
Когда кто-то пытается опубликовать форму, веб-сайт проверяет поле «csrfmiddlewaretoken
» и его значение. Если оно неверно или не установлено, то обнаруживается попытка csrf.
Но что такое CSRFCookie
? В документе говорится, что уникальное значение установлено в CSRFCookie
, а также в скрытом поле . Вот где я запутался. Отправляется ли файл cookie в браузер? со встроенной уникальной строкой? Хотелось бы, чтобы кто-нибудь объяснил это немного ясно.
спасибо,