Django “中间人攻击”能否破坏CSRF_令牌保护?
我正在研究django csrf_令牌保护,我知道它是如何工作的,但我仍然想知道一个问题。例如,在http请求中,攻击者是否可以嗅探用户的所有网络流量,这意味着攻击者仍然可以获取csrf_令牌,并使用有效的csrf_令牌发出虚假请求。正如前面提到的CSRF,我对JSON WEB令牌也有同样的怀疑,如果攻击者获得了用户的令牌,他/她仍然可以发出虚假请求。你能解释一下我的例子描述是否正确吗?如果是这样,我们能做些什么来处理这个问题呢?这是正确的。解决这一问题的方法是加密整个连接,使其无法被嗅探,即使用HTTPS。设置不在堆栈溢出的范围内 您应该在安全堆栈Exchange站点上询问此问题是。如果中间的人能够读取甚至拦截你的所有流量,他们就可以获取身份验证机密并假装是你。CSRF和JWT令牌都不能阻止这一点。您可以通过使用HTTPS和证书验证来处理它,这样您就可以知道您在和谁说话。Django “中间人攻击”能否破坏CSRF_令牌保护?,django,web,csrf-protection,json-web-token,Django,Web,Csrf Protection,Json Web Token,我正在研究django csrf_令牌保护,我知道它是如何工作的,但我仍然想知道一个问题。例如,在http请求中,攻击者是否可以嗅探用户的所有网络流量,这意味着攻击者仍然可以获取csrf_令牌,并使用有效的csrf_令牌发出虚假请求。正如前面提到的CSRF,我对JSON WEB令牌也有同样的怀疑,如果攻击者获得了用户的令牌,他/她仍然可以发出虚假请求。你能解释一下我的例子描述是否正确吗?如果是这样,我们能做些什么来处理这个问题呢?这是正确的。解决这一问题的方法是加密整个连接,使其无法被嗅探,即使