为什么Django csrf_令牌是永久的
从文档中,我发现django使用的是一个永久的,而不是基于会话的csrf cookie。但是如果我查看表单所在网页的源html,我可以看到隐藏的输入,这意味着我可以获得csrf cookie。如果cookie是永久的,我可以用cookie伪造POST请求。是吗?它在登录/注销后更改。您可以通过从cookie进入JQuery进行检查:为什么Django csrf_令牌是永久的,django,Django,从文档中,我发现django使用的是一个永久的,而不是基于会话的csrf cookie。但是如果我查看表单所在网页的源html,我可以看到隐藏的输入,这意味着我可以获得csrf cookie。如果cookie是永久的,我可以用cookie伪造POST请求。是吗?它在登录/注销后更改。您可以通过从cookie进入JQuery进行检查: document.cookie.match(/csrftoken=([\w]+)/) 并尝试在重新登录后进行比较。@petkostas,这样crsf令牌是否会更改
document.cookie.match(/csrftoken=([\w]+)/)
并尝试在重新登录后进行比较。@petkostas,这样crsf令牌是否会更改?我不是从文档中得到的