Я записываю свое понимание механизма csrf protcetion
в django
. Пожалуйста, поправьте меня, если я ошибаюсь.
csrfViewMiddleware
создает уникальную строку и сохраняет ее в скрытом поле csrfmiddlewaretoken формы, исходящей от хоста. Поскольку вредоносный веб-сайт, имитирующий эту форму, не знает о значении этого поля, он не может его использовать.
Когда кто-то пытается опубликовать форму, веб-сайт проверяет поле «csrfmiddlewaretoken
» и его значение. Если оно неверно или не установлено, то обнаруживается попытка csrf.
Но тогда что такое CSRFCookie
? Документ говорит, что установлено уникальное значение в CSRFCookie
, а также в hidden field
. Вот где я запутался. Отправляется ли файл cookie в браузер с встроенной уникальной строкой? Хотелось бы, чтобы кто-нибудь мог объяснить это немного ясно.
благодарю вас,