Django 的 CSRF 中间件产生大量误报？

Question

我从 Django 的 contrib CSRF 中间件收到大量误报。仅仅从网站的正常使用来看，在很多情况下，CSRF 就会开始阻止请求，将其视为可疑的伪造攻击。

还有其他人有这样的问题吗？我正在使用 Django 的 SVN 分支，因此拥有最新版本的 CSRF 中间件。我如何诊断这些问题？

更新：我在我的生产和开发网站上看到这些误报。它们偶尔发生。我的网站使用子域，并且该网站有一个不同的开发/生产版本，运行在不同的服务器上，但由子域分隔。什么会触发 CSRF 攻击警告？是在开发 cookie 被发送到生产站点时发生的吗？在同一登录用户的子域之间移动会导致问题吗？

Answer 1

Django 中的 CSRF 保护基于隐藏字段加上正常工作的会话。如果您使用子域来区分这两个站点，请检查您的 settings.SESSION_COOKIE_DOMAIN 是否为 正确设置以处理您的情况。