Записвам разбирането си за механизма csrf protcetion
в django
. Моля, поправете ме, ако е дефектен.
csrfViewMiddleware
създава уникален низ и го съхранява в скрито поле „csrfmiddlewaretoken“ на формуляр, произхождащ от хоста. Тъй като злонамерен уебсайт, имитиращ този формуляр, няма да знае за стойността на това поле, той не може да го използва.
Когато някой се опита да публикува формуляр, уебсайтът проверява полето „csrfmiddlewaretoken
“ и неговата стойност. Ако е грешно или не е зададено, тогава се открива опит за csrf.
Но тогава, какво точно е CSRFCookie
? Документът казва, че уникалната стойност е зададена в CSRFCookie
, а също и в hidden field
. Тук съм объркан. Изпраща ли се бисквитка до браузъра с вграден уникален низ? Иска ми се някой да може да обясни това малко по-ясно.
Благодаря ти,