关于Django的CSRF保护的问题

Question

该文档在此处有一个解释，但我还有一些其他问题。 .

为什么需要专用的 CSRF cookie？

如果 Django 不使用特定于事务的随机数，为什么不只要求将会话 ID 嵌入到 POST 请求正文中呢？

为什么 CSRF 随机数应该绑定到会话 ID？姜戈会这样做吗？

此网页似乎暗示 CSRF 随机数需要绑定到会话 ID（例如，CSRF 随机数 = 会话 ID 的密钥哈希）。这是为什么？ Django 是否将其 CSRF 随机数绑定到会话 ID？

为什么 Django 使用与会话无关的随机数而不是特定于事务的随机数？

是因为性能问题吗？直观上，交易特定的随机数本质上似乎更安全。

Answer 1

CSRF 保护和会话具有不同的性质，因此将它们放在单个 cookie 中会使维护变得更加困难。

以下是一些区别：

1. 您可以使用 CSRF 保护而不使用会话。
2. 您可能希望在会话启动之前使用 CSRF（即，由于性能原因，您不想在用户登录之前启动会话，但您希望使用 CSRF 保护您的联系表单）。
3. 有时您想删除会话 cookie，但可能永远不会删除 CSRF。
4. 单个浏览器会话需要 CSRF 保护（直到您关闭浏览器），但会话可能会持续数周。
5. 您可能想要进行跨域会话，但可能永远不需要跨域 CSRF。

Answer 2

1. CSRF 是一种用于 Web 应用程序的身份验证令牌。
2. 它用于防止 CSRF 攻击。
3. 不使用会话，您也可以使用基于 CSRF 令牌的
   认证系统。

有关 CSRF 的更多信息，请阅读以下链接。
https://docs.djangoproject.com/en/3.2/ref/csrf/< /a>