2
當CSRF正確實施時,普通用戶(非黑客)的CSRF故障的原因是什麼?Django CSRF失敗 - 可能的失敗原因是什麼?
我認爲一個原因是當cookie被禁用。 在瀏覽器/計算機設置中是否還有其他可能導致驗證失敗的原因?
謝謝。
當CSRF正確實施時,普通用戶(非黑客)的CSRF故障的原因是什麼?Django CSRF失敗 - 可能的失敗原因是什麼?
我認爲一個原因是當cookie被禁用。 在瀏覽器/計算機設置中是否還有其他可能導致驗證失敗的原因?
謝謝。
Cookie被禁用將導致CSRF失敗。唯一的另一個潛在問題就是cookie從發佈時間到表單提交時(可能是用戶加載表單,使瀏覽器窗口保持打開狀態幾小時或幾天,然後返回並提交表單)過期。
CSRF非常適合用戶通過瀏覽網站自然獲得的標準表單。如果CSRF令牌未在POST數據中傳遞,或者X-CSRFToken
標頭未與令牌一起隨請求發送,則AJAX請求可能會失敗。如果未從同一個域發送,則通過HTTPS提交的內容將失敗。