原来 Django 的 anti-csrf 中间件就是一摆设
浏览数:34 /
时间:2015年06月08日
最近基于Django做些东西,也是边学边做
这Django确实是不错,比较省事,效率也比较高
今天下午在调试Django和公司文档系统时候,在cookie的处理上有些问题,搞了半天也没搞定。在后面的测试过程中,发现好像Django的CSRF中间件好像有点问题,Django是通过在csrfviewmiddleware中进行相关的验证处理,token是存储在cookie里面。其实验证过程很简单,就是把token POST过去和Cookie中的做比对,,但是问题是都是csrfmiddlewaretoken,post中的也是从cookie里拿的,其实就是同一个值来做比对处理,就相当于你POST “123”过去,他就判断“123”和“123”是否匹配,这他妈的不是和没验证一样。。。
网上找了圈,发现已经有人提到了这个问题。。。15845,不知道Django会不会也和ruby on rails 一样用owasp的csrf Guard 的代码,呵呵
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。
