Django 将csrf_令牌直接传递给ajax post数据安全吗?
我担心在模板中声明的ajax调用中使用Django的Django 将csrf_令牌直接传递给ajax post数据安全吗?,django,ajax,security,django-csrf,csrf-token,Django,Ajax,Security,Django Csrf,Csrf Token,我担心在模板中声明的ajax调用中使用Django的{{csrf_token}}的安全性。考虑下面的情况: function set_sensitive_data() { $.ajax({ url: "{% url 'some_sensitive_view' %}", method: "POST", data:{
{{csrf_token}}
的安全性。考虑下面的情况:
function set_sensitive_data() {
$.ajax({
url: "{% url 'some_sensitive_view' %}",
method: "POST",
data:{
'csrfmiddlewaretoken': "{{ csrf_token }}",
'sensitive_data': "{{ some_data }}"
},
});
}
它工作得很好,但有什么特别的原因我不应该这样做吗?我读过Django文档,知道首选的方法是使用cookies,但这不是我的情况,我不是在问其他解决方案-我只是想知道这种方法是否不安全,如果不安全,那么原因是什么?这很好。CSRF令牌不可重复使用,并且只要您使用HTTPS,该令牌在传输过程中仍然是加密的。这很好。CSRF令牌是不可重用的,并且只要您使用HTTPS,该令牌在传输过程中仍然是加密的