Django是否安全csrf中间件令牌显示在url中?
当发出GET请求时,我注意到我的csrf令牌被附加到我的url中。这安全吗 Django不检查CSRF令牌中的GET请求。如果您有任何带有Django是否安全csrf中间件令牌显示在url中?,django,csrf,Django,Csrf,当发出GET请求时,我注意到我的csrf令牌被附加到我的url中。这安全吗 Django不检查CSRF令牌中的GET请求。如果您有任何带有method=“get”的表单,则应删除{%csrf\u token%}标记 在执行此操作时,请仔细检查GET请求是否没有副作用(即它们不会更改任何数据)。如果没有,则保留CSRF令牌,并将视图/表单更改为使用POST请求 如果CSRF令牌包含在URL中,那么它可能存储在某个位置,例如服务器日志。如果攻击者获得了令牌,那么他们可以使用它绕过Django的CSR
method=“get”{%csrf\u token%}有关更多信息,请参阅。Django不检查CSRF令牌以获取请求。如果您有任何带有
method=“get”{%csrf\u token%}有关更多信息,请参阅。很酷,感谢您的澄清:)我很好奇,如果潜在攻击者访问了某人的csrf令牌,会有什么影响。您仍然可以通过控制台访问csrf令牌。您可以通过浏览器工具查看您自己的csrf令牌,但攻击者无权访问它(或者如果他们访问了,则您会遇到更大的问题)。一旦攻击者知道您的CSRF令牌,他们就可以创建一个包含该令牌的